News sur la sécurité de l'information, sécurité informatique, sécurité des systèmes d'information

News - Archives juin 2014

Rapport > Bulletin d'actualité CERTFR-2014-ACT-026
Évolution de la politique de support de Microsoft suite à la publication de Windows 8.1 update 1; mécanismes de protection de type « sandbox » sous Windows (partie 2). (30.6.2014)

Messagerie > Que faire en cas de changement d'adresse e-mail ?
"Vous quittez votre entreprise, vous décidez de changer d'opérateur Internet ou de fermer votre ancienne messagerie pour cause de spams surabondants : dans tous ces cas, vous allez devoir adopter une nouvelle adresse de courrier électronique. Suivez ces quelques règles pour procéder au mieux sans perdre vos contacts." (30.6.2014)

Protection des données > La technologie des vêtements connectés doit respecter les lois de protection des données
Selon l'ICO. (30.6.2014)

Internet des choses > La voiture connectée, déjà une réalité
"L’IDATE analyse les stratégies des constructeurs de voitures connectées, des opérateurs mobiles et des fournisseurs d’applications. Elle présente les moteurs et les freins du marché, décrit l’écosystème et les business models associés." (30.6.2014)

Full tracking > Android partout, la vie rêvée selon Google
"Android sur votre smartphone, mais aussi bientôt sur votre montre, dans votre voiture, sur votre télévision. La Google I/O du 25 juin a parfaitement montré où Google voulait emmener son OS : partout. Mais à quel prix ?" (30.6.2014)

CSO / CISO > A qui doit rapporter le CISO / RSSI?
Au CEO, au CIO, au CFO?
Le RSSI encore sous tutelle de nombreuses DSI. (30.6.2014)

Hacking > L'attaque parfaite
Qui commence par la phase de reconnaissance. (30.6.2014)

Authentification forte > L'incident de PayPal montre comment il ne faut pas utiliser l'authentification forte
Une seule faiblesse suffit. (30.6.2014)

Risques humains > Eduquer le End User et éliminer le plus important risque de sécurité
Et autres bonnes pratiques permettant de diminuer ces risques. (30.6.2014)

Technologie > Les 10 principales technologies de sécurité de l'information en 2014
Selon Gartner.
Les professionnels de sécurité IT devront se préparer au commerce digital (Digital Business). (30.6.2014)

Rapport > Augmentation de malware mobiles
De McAfee.
Trois mesures pour combattre le malware. (30.6.2014)

Protection des données > Des recommandations de reconnaissance faciale protègent insuffisamment la sphère privée
Selon l'ACLU. Ces recommandations servent surtout à l'industrie. (30.6.2014)

Smartphones > Le "Kill Switch" contre le vol de smartphones
Dix points importants. (26.6.2014)

Etude > Une des raisons principales pour ne pas pirater du logiciel : les hackers et la perte de données
Etude du BSA. (26.6.2014)

Protection des données > Publication de photographies
"Dans la presse écrite, sur le web ou encore sur les réseaux sociaux, l’image est aujourd’hui partout. Rien d’étonnant à cela, puisque prendre une photographie et la publier est devenu depuis longtemps un acte banal. Or, lorsque, comme c’est souvent le cas, la photographie a pour sujet une personne, il se pose la question de savoir comment la publication de l’image s’articule avec les droits de la personnalité de la personne concernée." (26.6.2014)

Cybersécurité > Dix mesures de protection
Selon dix experts. (26.6.2014)

Cloud computing > La cyberattaque fatale
C'est arrivée.
Comment les utilisateurs SaaS peuvent-ils se protéger?
Autre article à ce sujet. (26.6.2014)

Protection des données > Comment effacer des informations me concernant sur un moteur de recherche?
"Vous avez tapé votre nom dans Google, Bing, ou un autre moteur de recherche. Les informations qui vous concernent nuisent à votre image ou à votre réputation ? La CNIL vous explique comment les faire disparaître." (26.6.2014)

Protection des données > Bulletin d'actualité CERTFR-2014-ACT-025
Journalisation des flux réseau (seconde partie); mécanismes de protection de type « sandbox » sous Windows. (26.6.2014)

Audit / Surveillance en continu > Le meilleur élève du Gouvernement US
Comment a-t-fait pour y arriver? (26.6.2014)

Rapport > Alerte : fausses annonces immobilières
"Les fausses annonces pour la location de biens immobiliers (appartements, maisons, chalets de vacances) sur des sites de petites annonces ne cessent d’augmenter. Le SCOCI invite les personnes à la recherche d’un logement sur Internet à faire preuve de prudence."
Autres alertes publiées par le SCOCI. (26.6.2014)

DLP > Comment prévenir une perte / un vol de données tel le cas rapporté par AT&T
Renforcer les politiques par des mesures techniques. (26.6.2014)

Cybersécurité > Trois stratégies pour la nouvelle cybersécurité de l'entreprise
Du CSO de Cisco. (22.6.2014)

Protection des données > Se préparer à la nouvelle loi européenne de protection des données
Les cinq domaines clefs. (22.6.2014)

Cloud computing > Comment une entreprise fait face aux services cloud computing dangereux
En les bloquant. (22.6.2014)

Protection des données > Fuite de données clients : avertissement pour DHL
"La formation restreinte de la CNIL a sanctionné la société DHL en raison d’un défaut de sécurité ayant affecté la confidentialité de plusieurs centaines de milliers de fiches de clients."
Article à ce sujet. (22.6.2014)

Protection des données > Comment tout anonymiser ce que l'on fait en ligne
Naviguer, envoyer des messages, etc. (22.6.2014)

Sensibilisation > Training à la sécurité : quelques bons conseils
Les dix principes de l'ISF. (22.6.2014)

Cyberattaques > L'évolution des menaces des attaques DDoS amplifiées
Et comment se défendre. (22.6.2014)

Cyberattaques > Trois bonnes pratiques pour réduire les risques d'attaque d'injection SQL
Débuter par un inventaire de tout ce qui concerne les bases de données. (22.6.2014)

Compteurs intelligents > Innovation dans le pilotage énergétique du logement : un pack de conformité pour les compteurs communicants
"Le groupe de travail « smart grids et données personnelles » créé par la CNIL et la FIEEC a défini trois « scénarios d’innovation » qui font partie intégrante d’un pack de conformité pour les compteurs communicants." (22.6.2014)

Cryptographie > Une collection de vulnérabilités cryptographiques
Article de Cisco. (22.6.2014)

Tablettes > Comment protéger sa tablette, ses données et soi-même lorsqu'on travaille à distance
Utiliser intelligemment le Wi-Fi public, etc. (22.6.2014)

Infrastructure > Les apps mobiles auront des impacts significatifs sur l'infrastructure IT
Selon Gartner. (22.6.2014)

Bases de données > Pourquoi la surveillance des bases de données peut ou pas sécuriser vos données
Différents avis d'experts. (17.6.2014)

Cyberattaques > La Banque d'Angleterre subit 7 à 8 cyberattaques par semaine
Dont DDoS et malware. (17.6.2014)

Rapports > Bulletin d'actualité CERTFR-2014-ACT-023
Bulletin d'actualité CERTFR-2014-ACT-024. (17.6.2014)

Surveillance > Test de la surveillance Internet
En espionnant le journaliste. (17.6.2014)

Antivirus > L'antivirus est-il encore utile?
Certainement et en combinaison avec d'autres mesures de sécurité. (17.6.2014)

Droit à l'oubli > Décision de la Cour de justice européenne : des lignes directrices du G29 pour une approche commune du droit à l'oubli
"Lors de la plénière du G29 des 3 et 4 juin 2014, les autorités européennes de protection des données ont procédé à un premier examen des conséquences de l'arrêt de la Cour de justice de l'Union européenne (CJUE) du 13 mai 2014 portant sur le droit à l'oubli sur internet"
Autre article à ce sujet. (17.6.2014)

Wi-Fi > iOS 8 va protéger ses utilisateurs contre les hotspots Wi-Fi trop curieux
"Lors du scan de réseaux Wi-Fi disponibles, iOS 8 va envoyer une adresse MAC générée de façon aléatoire, sans lien avec l'adresse réelle, pour éviter qu'elle soit enregistrée sur tous les routeurs." (13.6.2014)

Cyberattaques > Comment protéger son site eCommerce contre les hackers
Les sites eCommerce des PME sont également visés. (13.6.2014)

Protection des données > 8 choses à savoir sur la protection de vos données personnelles
"Un an après le scandale des écoutes de la NSA, les tensions entre américains et européens sont encore vives sur le sujet de l'utilisation des données personnelles. Quelles limites légales doivent respecter les géants du web ? La loi française nous protège-t-elle suffisamment ?" (13.6.2014)

Protection des données > INTRUSION 2.0 – Avec Shodan, contrôlez des webcams et imprimez chez les autres.
"Grâce à Shodan, un moteur de recherche initialement créé pour répertorier les objets connectés à Internet, ils parvenaient à prendre le contrôle de caméras de surveillance, pouvaient régler le chauffage d’un immeuble en utilisant son thermostat, et accédaient à des bases de données remplies d’informations normalement personnelles, en profitant de l’absence de mot de passe pour protéger ces dispositifs." (13.6.2014)

CSO / CISO > Les CISO sont-ils écoutés par la Direction de l'entreprise?
De plus en plus, et c'est une de leurs tâches à se faire écouter. (13.6.2014)

Protection des données > Accéder à ses propres données personnelles, le parcours du combattant
"Saviez-vous que vous pouvez connaître le détail des informations vous concernant dans n’importe quelle base de données ? C’est ce qu’on appelle le droit d’accès, et il est garanti, tout comme celui de rectification ou de suppression, par la loi de 1978 relative à l’informatique et aux libertés. Nous avons tenté d’exercer ce droit. Et c’était loin d’être évident." (13.6.2014)

Protection des données > Ma vie disséquée à travers mes données personnelles
"Plusieurs centaines de fois par jour, nous générons des données qui disent où nous allons, ce que nous faisons, avec qui nous mangeons et ce que nous avons pris comme dessert." (13.6.2014)

Malware > Combattre GameOver Zeus et CryptoLocker
Les sept mesures. (13.6.2014)

Stratégie > Stratégie de sécurité > Introduction à la pensée stratégique
Les cinq niveaux de la stratégie de sécurité. (13.6.2014)

Phishing > Attaque Dropbox
Explications et comment l'éviter. (13.6.2014)

Politique de sécurité > Concept de cybersécurité du gouvernement UK
Le "Cyber Essentials Security Scheme". (13.6.2014)

Vulnérabilités > Après Heartbleed, une nouvelle faille de sécurité dans OpenSSL
"Après la faille Heartbleed, détectée en avril dans la bibliothèque OpenSSL, un code « open source » (c’est-à-dire gratuit et participatif) de protection des données sur Internet utilisé par un grand nombre de sites dans le monde, six nouvelles vulnérabilités ont été mises au jour en avril et mai par un chercheur japonais, et rendues publiques jeudi 5 juin par l’OpenSSL Foundation."
Article du ICS SANS à ce sujet. (13.6.2014)

Cyberattaques > Les hackers Internet arrivent-ils à percer les lignes de défense?
Actuellement, il semblerait que oui. (9.6.2014)

Protection des données > Droit à l'oubli : peut-on faire confiance à Google pour décider du sort de nos données?
"Le "droit à l'oubli" opposé par la Cour de justice de l'Union européenne soulève de nombreuses questions. Notamment : Google est-il légitime pour décider de pertinence des demandes ?"
Article à ce sujet.
Comment l'UE va-t-elle surveiller le respect de la décision de la Cour? (9.6.2014)

Big Data > Le Big Data nécessite une focalisation sur une sécurité centrée sur les données
Article à ce sujet. (9.6.2014)

Vol d'identité > Les escrocs multiplient les usurpations d'identité sur Internet
"Les internautes leur facilitent la tâche grâce aux renseignements personnels qu'ils dévoilent notamment sur les réseaux sociaux." (9.6.2014)

Protection des données > Votre FAI peut-il lire ce que vous transmettez via Facebook?
Quelques bons conseils. (9.6.2014)

Cryptographie > L'étrange disparition du logiciel de chiffrement TrueCrypt
"Ce logiciel, recommandé par des ONG et utilisé par Edward Snowden et des journalistes ou militants anti-censure, a subitement été retiré du Web par ses créateurs. Sans explications."
Le site http://truecrypt.ch/. (9.6.2014)

Stratégie IT > Le directeur financier doit-il piloter le changement informatique ?
"D'après une étude, 65% des dirigeants de grandes entreprises estiment que la transformation technologique de l'entreprise devrait être menée par le directeur financier. Or, seule une petite minorité le fait réellement." (9.6.2014)

Smartphones > Un hacker pourrait-il rallumer un iPhone éteint?
Ou qu'on croit éteint? (9.6.2014)

Cloud computing > Comment sécuriser les données dans le cloud
Quelques bons conseils. (9.6.2014)

Big data > Cohabitation possible entre le big data et le SIEM?
"SIEM systems must be big data systems or they will be made irrelevant." (9.6.2014)

Malwares > Action internationale contre le botnet "Gameover Zeus"
Et contre le ransomware "CryptoLocker". (9.6.2014)

Accès privilégiés > Trop de collaborateurs IT disposent d'accès privilégiés provocant des brèches de sécurité des données
Quelques bons conseils. (9.6.2014)

Navigateurs > S'assurer que votre navigateur ne dévoile pas vos données personnelles
En général, les navigateurs ont accès à beaucoup de données sensibles et comportementales. (9.6.2014)

Noms de domaine > Bonnes pratiques pour lʼacquisition et lʼexploitation de noms de domaine
"L’acquisition et l’exploitation des noms de domaines concernent potentiellement toute entité cultivant une présence sur Internet. Ce guide offre des recommandations organisationnelles, juridiques et techniques pour choisir un prestataire, enregistrer son domaine et sécuriser son hébergement." (4.6.2014)

Brèches de sécurité > 75% des brèches de sécurité des mobiles seront dues à des applications mal configurées
Recommandations du Gartner. (4.6.2014)

Internet des choses > Quantified self, m-santé : le corps est il un nouvel objet connecté ?
"Mesurer le nombre exact de pas parcourus dans la journée, suivre son poids avec une balance connectée, mesurer la qualité de son sommeil avec un bracelet un podomètre ou une montre, autant de possibilités offertes aux adeptes de la « quantification de soi ». Ces objets connectés posent des questions nouvelles. C’est pourquoi, à l’occasion de la publication du Cahier innovation et prospective consacré à ce sujet, la CNIL organise une table-ronde afin d’éclairer le débat ainsi que des ateliers avec les professionnels." (4.6.2014)

Cybersécurité > Proactivité et planification seraient les clefs de la cybersécurité dans les entreprises
"Dans un rapport publié par RSA Security, des experts en sécurité plaident pour les technologies big data et recommandent notamment d'adopter une approche proactive et d'anticiper les cyber-risques." (4.6.2014)

Publication > Journal of Accountancy
Edition de juin 2014. (4.6.2014)

Protection des données > Droit à l'oubli : Google s'incline devant la Justice européenne
"Google a mis en ligne un formulaire permettant à toute personne de demander la suppression de son moteur de recherche des résultats de recherche incluant son nom et qui sont, notamment, plus d'actualité." (4.6.2014)

Gestion des incidents > Les agences US doivent améliorer leurs pratiques de réponse aux cyberincidents
"-- To improve the effectiveness of governmentwide cyber incident response activities, the Director of OMB and Secretary of Homeland Security should address agency incident response practices governmentwide, in particular through CyberStat meetings, such as emphasizing the recording of key steps in responding to an incident.
-- To improve the effectiveness of cyber incident response activities, the Secretary of Energy should revise policies for incident response to include requirements for defining the incident response team's level of authority, prioritizing the severity ratings of incidents based on impact and establishing measures of performance.
-- To improve the effectiveness of cyber incident response activities, the Secretary of Energy should develop incident response procedures that provide instructions for containing incidents and revise procedures for incident response to prioritize the handling of incidents by impact.
Etc." (4.6.2014)

Sécurité de l'information > Le niveau de sécurité IT dépend du maillon le plus faible
Et en général c'est l'humain. (4.6.2014)

Cryptographie > La mystérieuse mise à mort de TrueCrypt
"Mercredi soir, le logiciel de chiffrement de disque dur TrueCrypt, utilisé par des experts, activistes et journalistes partout dans le monde a "annoncé" l'arrêt de son développement. Vraie mise à mort ou stratagème ?"
Question que se pose le SANS ISC.
Un canular? des rumeurs?
TrueCrypt.ch ne veut pas croire à la fin du projet, un fork en préparation. (4.6.2014)

Protection des données > Le Congrès US appelé à légiférer sur le marché des données personnelles
"Dans un rapport transmis au Congrès, le régulateur du commerce américain (FTC) appelle les parlementaires à légiférer sur le commerce des données utilisateurs. Il préconise une plus grande transparence et des mesures de sécurité." (1.6.2014)

Formation infosec > Pourquoi le cyber entrainement à l'école est vital pour la sécurité des pays
Parce ce que tout le monde est concerné et que les attaques ne vont pas diminuer. (1.6.2014)

Normes > BS 11200:2014 Gestion de crise et bonnes pratiques
Du BSI. (1.6.2014)

Cloud computing > Pratique : migrer vers un cloud privé en six étapes
"Mettre sur pied un cloud privé demande des efforts de standardisation, de consolidation du réseau, d'optimisation du stockage, d'automatisation et d'orchestration, selon Logicalis. Voici les étapes-clés à prendre en compte lors d'une telle opération." (1.6.2014)

Transport > Hacking de voitures
En 2013 à Londres, environ 40'000 voitures ont été hackées à l'aide de gadgets électroniques. (1.6.2014)

Mots de passe > Comment changer son mot de passe eBay
Suite à la cyberattaque.
Et comment ne pas répondre de cette manière à un tel incident majeur. (1.6.2014)

Cyberattaques > Communiqué de presse du FFIEC
Mesures pour combattre les cyberattaques des ATM et les attaques DDoS.
Article à ce sujet. (1.6.2014)

CSO / CISO > Quatre conseils de survie du CIO dans un environnement de niveau de confiance nulle
Ne faire confiance à personne, ni aux collaborateurs, ni au frigidaire, etc. (1.6.2014)

Sécurité > "Mind Your Languages" - Nouvel article sur l’importance des langages pour la sécurité
"Les nombreuses failles logicielles critiques récemment découvertes dans les implémentations des protocoles de sécurité, pour certaines liées à une mauvaise rédaction du code, rappellent que les langages utilisés dans le développement logiciel ont un impact sur la sécurité des produits." (1.6.2014)

Cyberattaques > Injections SQL et autres
Les deux choses que chaque développeur devrait connaître concernant les injections. (1.6.2014)

Rapports > Bulletin d'actualité CERTFR-2014-ACT-021
Et bulletin d'actualité CERTFR-2014-ACT-022. (1.6.2014)

Tests d'intrusion > Les six principales vulnérabilités trouvées par les tests d'intrusion
"Pass-the-hash", réutilisation du mot, de passe, etc. (1.6.2014)

Licences > Une meilleure gestion des licences logiciels permet une meilleure gestion des investissements IT
Rapport du GAO identifiant cinq bonnes pratiques. (1.6.2014)

--------------------------------------------------------------------------------
Copyright © 2014 Aud-IT Sàrl Geneva. All rights reserved

Sites utiles
US-CERT
SANS
MELANI

CERT-FR

Annonce d'un séminaire