News sur la sécurité de l'information, sécurité informatique, sécurité des systèmes d'information
News - Archives novembre 2014
Rapport > Bulletin d'actualité CERTFR-2014-ACT-047
Vulnérabilité impactant Kerberos, retour d'expérience sur le changement du mot de passe de krbtgt, etc. (30.11.2014)
Réseaux sociaux > Twitter va inspecter les applications que vous avez installées
"Le réseau social cherche à améliorer son ciblage publicitaire en regardant la liste d’applis de votre terminal mobile. Heureusement, cette option peut être désactivée." (30.11.2014)
Malware > Le virus « Regin », un outil de cyberespionnage développé par un Etat
"« Dans le monde des virus informatiques, rares sont les exemples qui peuvent être réellement considérés comme révolutionnaires. Ce que nous avons là en fait partie. » C'est par cette phrase, volontairement grandiloquente, que débute le dernier rapport de l'entreprise de sécurité informatique Symantec, publié dimanche 23 novembre, et dans lequel elle révèle avoir découvert un virus espion d'une complexité inédite, baptisé « Regin »."
Alerte de l'US-CERT.
Réponse de Symantec et article de Cisco. (30.11.2014)
Dark Web > C'est quoi?
Explications.
Article à ce sujet. (30.11.2014)
Cyberattaques > Huit possibles indicateurs / scénarios d'une attaque
Et risques que votre entreprise n'arrivera pas à y répondre efficacement et rapidement. (30.11.2014)
Cryptographie > Création d'une autorité de certification pour chiffrer tout le web
Lancement d'une initiative de l'EFF.
(30.11.2014)
Audit du SI > Bonnes pratiques internationales d'audit du SI
Publication de l'ISACA.
(30.11.2014)
Cryptographie > Les risques cachés de sécurité dans le trafic chiffré
"Blue Coat Systems, Inc., the market leader in business assurance technology, today revealed research that shows that the growing use of encryption to address privacy concerns is creating perfect conditions for cyber criminals to hide malware inside encrypted transactions, and even reducing the level of sophistication required for malware to avoid detection." (30.11.2014)
Architecture > Les architectures des nouvelles applications vont changer les dessins du trafic réseau
Selon Gartner. (30.11.2014)
Webcam > Des milliers d'images diffusées sur le Net via caméras passoires
"Un site hébergé en (c'est le même) a diffusé sur le web le contenu de milliers de caméras de surveillance connectées à Internet mais mal protégées." (23.11.2014)
Cyberespionnage > Analyse du cyberespionnage de celui qu'on connait
Aux niveaux stratégique et coordination. (23.11.2014)
Internet des objets > L'administration et le secteur privé US ont cinq ans pour sécuriser l'IoT
Augmenter la sécurité et diminuer les risques.
(23.11.2014)
Phishing > Les attaques malicieuses via phishing sont très efficaces
Parole d'expert.
(23.11.2014)
Surveillance > Etes-vous sous cybersurveillance ? Faites le test !
"Des défenseurs de droits citoyens viennent de développer un outil qui permet de détecter sur les ordinateurs Windows les logiciels d’espionnage couramment utilisés par les agences gouvernementales."
Article à ce sujet.
Et encore un. (23.11.2014)
Big Data > Was Google wirklich weiß
"Schon lange fordern Datenschützer, dass Google offenlegt, was es über seine Nutzer weiß. Nun hat ein Unternehmen sechs Links zusammengestellt. Sie zeigen, wie umfassend Googles Zugriff ist." (23.11.2014)
Cyberattaques > Bonnes pratiques contre les attaques sophistiquées
Défenses spécifiques aux types d'équipement. (23.11.2014)
Malware > Reversing Multilayer .NET Malware
Article de Cisco.
(23.11.2014)
Surveillance > Comment Google et consorts se mettent au service de la NSA
"Une enquête journalistique révèle les relations incestueuses entre les géants de la Silicon Valley et l’agence de surveillance numérique. Grâce à des deals secrets, les cyberbarbouzes ont même pu intégrer des portes dérobées dans les produits de Microsoft et de Cisco." (23.11.2014)
Rapports > Bulletin d'actualité CERTFR-2014-ACT-046
Autre article : Les systèmes et logiciels obsolètes. (23.11.2014)
Surveillance > Comment Google et consorts se mettent au service de la NSA
"Une enquête journalistique révèle les relations incestueuses entre les géants de la Silicon Valley et l’agence de surveillance numérique. Grâce à des deals secrets, les cyberbarbouzes ont même pu intégrer des portes dérobées dans les produits de Microsoft et de Cisco." (20.11.2014)
Logiciels > Huit conseils pour réduire le nombre de logiciels non autorisés
Débuter par mettre en place des mesures prévenant contre l'introduction de logiciels non autorisés dans l'entreprise. (20.11.2014)
Achats en ligne > Huit conseils pour acheter en ligne
Pas seulement lors des fêtes de fin d'année! (20.11.2014)
eBanking > Quels sont les risques encourus avec l’e-banking?
Principale méthode du phishing.
(20.11.2014)
Internet des objets > Développement d'apps pour l'IoT : Les bonnes pratiques à suivre
"De plus en plus de start-ups proposent des plateformes permettant d'intégrer des données issues des senseurs des objets connectés. Organisation et traitement de ces données font partis des bonnes pratiques à suivre pour réussir son projet." (20.11.2014)
Réseaux sociaux > Facebook suit les internautes en dehors de ses pages pour améliorer ses publicités
"Le réseau social annonce qu'il va bientôt observer le comportement en ligne de ses utilisateurs en dehors de ses pages. Les internautes auront néanmoins la possibilité de refuser les publicités comportementales." (20.11.2014)
Cryptographie > Comment chiffrer des données sensibles?
Les mettre dans un container chiffré. (20.11.2014)
Tracking > Les Etats-Unis espionnent des milliers de téléphones portables depuis des avions
"Pour localiser des suspects, le département de la justice américain intercepte les données de dizaines de milliers de mobiles depuis 2007. Les téléphones se connecteraient à l’insu de leur propriétaire à des « dirtbox » déployées dans le ciel." (20.11.2014)
Mobiles > Les patrons des grandes entreprises ne prennent pas assez au sérieux la sécurité mobile
"La société BT (British Telecom) a commandé il y a peu une étude à Vanson Bourne non pas pour analyser le comportement de ses clients dans le fixe ou le mobile, mais plutôt pour savoir comment les secteurs du mobile et de la sécurité se portaient dans les entreprises. Lors des mois de septembre et octobre 2014, plus de 600 entretiens auprès de décideurs IT de grandes entreprises (plus de 1000 salariés) ont été réalisés." (17.11.2014)
BYOD > Les programmes BYOD sont presque toujours problématiques
Selon des responsables de sécurité. (17.11.2014)
Apple / Yosemite > Trois points importants de sécurité
Spotlight, etc.
(17.11.2014)
Big Data > Quatre contrôles importants du big data
Anonymiser, chiffrer, contrôler les accès et apprécier les risques. (17.11.2014)
Protection des données > Implications des équipements médicaux connectés dans la protection des données et dans la sphère privée
Le Préposé UK à la protection des données va examiner les implications des équipements médicaux connectés dans la protection des données et dans la sphère privée. (17.11.2014)
Rapport > Bulletin d'actualité CERTFR-2014-ACT-045
Vigilance pour le pont du mois de novembre, nouvelle vulnérabilité impactant OLE, etc. (17.11.2014)
Scam > Ransomlock (Trojan.Ransomlock.AM)
Article de Symantec. (17.11.2014)
SCI/SOX > Objectifs de contrôle IT SCI/SOX utilisant CobiT-5
De l'ISACA. (17.11.2014)
Cloud computing > Trois pratiques qui augmentent les risques du cloud
Analyse de trois rapports. (17.11.2014)
Internet des objets > Trois exigences de sécurité
Risques utilisateurs IoT, etc.
(14.11.2014)
Smartphones > Piratage de la Banque postale : alerte aux malwares sur les smartphones !
"Les virements frauduleux réalisés auprès de l’établissement bancaire montrent les limites des systèmes d’authentification forte basés sur un code envoyé sur un smartphone." (14.11.2014)
Neutralité des réseaux > les entreprises TIC garantes d’un Internet ouvert
"Les entreprises TIC suisses clarifient les choses en ce qui concerne la neutralité des réseaux. Swisscom, Sunrise, upc cablecom, Orange et l’association Swisscable ont élaboré un code de conduite correspondant: elles se font les garantes d’un Internet ouvert. Elles constituent en outre un organe de conciliation qui réunira des experts indépendants." (14.11.2014)
Phishing > Nouvelle technique simplifiant le phishing
Article de Trendmicro. (14.11.2014)
DLP > Risques de fuite de données dus à vos outils de partage de fichiers?
Rapport de Ponemon.
(14.11.2014)
Enquête > Pratiques globales de sécurité de l'information 2015
Article à ce sujet. (14.11.2014)
Géolocalisation > Où étiez-vous?
Le Wi-Fi de votre smartphone le communique à tous. (14.11.2014)
Cloud computing > 5 critères pour vous aider à choisir entre cloud public et privé
"La migration vers le cloud computing peut être fastidieuse. La présente comparaison entre cloud public et cloud privé simplifie le processus en détaillant cinq points à prendre en compte dès le début." (14.11.2014)
Gestion des données > Un guide sur la gestion des données signée Cigref
"Le Club informatique des grandes entreprises françaises a publié un guide consacré à la valeur que les entreprises doivent savoir tirer de leur patrimoine de données." (14.11.2014)
Cyberattaques > Les entreprises doivent agir maintenant contre une vieille astuce utilisées par des hackers
L'injection SQL.
(14.11.2014)
Cyberattaques > Les PME, un maillon faible des cyberattaque
Les professionnels de sécurité doivent mieux informer les PME sur les risques.
(14.11.2014)
Protection des données > La Deutsche Bank nomme un Chief Data Officer
Article à ce sujet. (14.11.2014)
Protection des données > Prospection commerciale par courrier électronique : mise en demeure de la société PRISMA MEDIA
"La CNIL a adopté le 13 octobre 2014 une mise en demeure à l’encontre de la société PRISMA MEDIA spécialisée dans l’édition et la commercialisation de magazines périodiques et de sites internet." (9.11.2014)
Réseaux sociaux > Les cinq principaux scams piégeant les utilisateurs Facebook
1. Guess who viewed your profile (45.5%)
2. Facebook functionality scams (29.53%)
3. Giveaway scams (16.51%)
4. Celebrity scams (7.53%)
5. Atrocity videos (0.93%). (9.11.2014)
Brèches de sécurité > Six choses à apprendre des brèches de sécurité 2014
1) Disposez-vous des équipes adéquates (quantitativement et qualitativement). (9.11.2014)
Mobiles > Exigences VPN pour les équipements mobiles
Quatre facteurs à considérer. (9.11.2014)
Protection des données > Mort numérique ou éternité virtuelle : que deviennent vos données après la mort ?
"De nombreux internautes s’interrogent sur le devenir des données concernant leurs proches ou eux-mêmes après la mort. C’est dans ce contexte qu’a émergé le concept de « mort numérique », potentiellement porteur d’interrogations juridiques mais également sociétales. Sensible à la dimension humaine de cette thématique et soucieuse d’assurer une protection effective de l’identité individuelle, la CNIL ouvre le débat des enjeux de la mort numérique." (9.11.2014)
BYOD > Le BYOD, source de stress pour les collaborateurs
"La possibilité pour les collaborateurs d'utiliser leurs terminaux personnels à des fins professionnelles met ces derniers sous pression. Un constat qui ressort d'une étude menée par TEKsystems auprès de 300 professionnels IT." (9.11.2014)
Internet des objets > Huit conseils pour sécuriser l'IoT
Premier conseil : "1. Ensure that devices receiving updates over the web are doing so over secure systems. Ensure that connectivity is secure and use devices that provide for two-factor authentication, e.g. a physical device and a PIN associated with those devices." (9.11.2014)
Cloud computing > Le NIST publie une marche à suivre pour l'adoption du cloud computing
En deux volumes. (9.11.2014)
ePaiement > Le PCI SSC publie un guide de sensibilisation à la sécurité
Aider les entreprises à éduquer leurs collaborateurs à protéger les données sensibles des cartes de paiement, qui sont de plus en plus visées par les cyibercriminels. (9.11.2014)
Télécommunications > Internet: débit plus élevé et nouvelles règles pour les noms de domaine
"Berne, 05.11.2014 - Inscrite dans le service universel, la vitesse minimale de la connexion internet à haut débit sera doublée. C'est l'une des conséquences de l'approbation par le Conseil fédéral de différentes adaptations d'ordonnances dans le domaine des télécommunications. Ces modifications améliorent la transparence et l'indication des prix des services de télécommunication et des services à valeur ajoutée et renforcent les moyens à disposition de l'Office fédéral de la communication (OFCOM) pour lutter contre les perturbations du spectre des fréquences. Quant à la gestion des noms de domaine internet " .ch" et " .swiss", elle sera à l'avenir réglée dans une ordonnance indépendante sur les domaines internet (ODI), dont le texte a aussi été approuvé par le Conseil fédéral. Les nouvelles dispositions entreront en vigueur le 1er janvier, respectivement le 1er juillet 2015." (9.11.2014)
DSI > La DSI a encore à faire pour se rapprocher des métiers
"Décisions IT : Les DSI se fixent comme objectif de satisfaire les nouveaux besoins business, même si 55% d'entre eux en font leur priorité. Et un facteur vient compliquer la réalisation de ce but : l'état de la relation entre la DSI et certains métiers, dont le marketing, les RH et la finance." (9.11.2014)
Métiers IT > Mise à jour du référentiel des métiers et des compétences IT du Cigref
"Le Cigref vient de mettre à jour sa nomenclature des métiers et des compétences. Elle est librement accessible en ligne." (9.11.2014)
Cybercriminalité > EC3 : Centre européen de cybercrime
Fait partie d'Europol. (9.11.2014)
Cyberespionnage > Simple mais efficace : les cyberespions siphonnent les réseaux par... Gmail
"Pour recevoir ses ordres ou exfiltrer ses données, un nouveau type de malware d’espionnage s’appuient sur le mode brouillon de la messagerie de Google. Ce qui rend les échanges particulièrement discrets." (4.11.2014)
Migration > Migration Windows Server 2003
Quel impact sur le SI et le datacenter ? (4.11.2014)
Cybermenaces > Augmentation des menaces internes
Proposition de différentes mesures de mitigation des risques. (4.11.2014)
Cloud computing > Les dix principaux mythes du cloud
Du Gartner. (4.11.2014)
POSI > Comment savoir si la politique de sécurité est inefficace?
Sept questions importantes. (4.11.2014)
Protection des données > Neuf conseils pour ne pas s'afficher en tenue d'Eve sur Internet
Même si vous n'êtes pas une star. (4.11.2014)
Crise > Six conseils pour tester la gestion de crise autour d'une table
D'abord bien se préparer. (4.11.2014)
Cyberattaques > Souvent sont dues à un processus non efficace de gestion des incidents
Raison : estimer que les cyberattaques sont évitables.
(4.11.2014)
Big Data > Big Data Security Analytics (BDSA)
Rôle de Hadoop. (4.11.2014)
Rapports > Bulletin d'actualité CERTFR-2014-ACT-043
Et bulletin d'actualité CERTFR-2014-ACT-044. (4.11.2014)
Scanning > Rechercher des vulnérabilités critiques
Du SANS. (1.11.2014)
Transport > Le véhicule connecté est excitant
Mais potentiellement terrifiant.
(1.11.2014)
ERM > Sécurité de l'entreprise : Pourquoi l'entreprise a besoin d'un système digital immunisé
Traiter la sécurité de l'entreprise comme les réponses du corps humain à des blessures ou à des maladies. (1.11.2014)
Internet des objets > Les données générées par des équipements connectés (IoT) devraient être considérées comme personnelles
Selon les autorités de protection des données.
(1.11.2014)
Cyberattaques > Les sous-domaines abandonnés posent de sérieux risques de sécurité aux entreprises
"Les attaquants peuvent détournés des sous-domaines déclarés par les entreprises comme des services externes plus utilisés." (1.11.2014)
Rapport > Méthodes raffinées d’ingénierie sociale et attaques de phishing ajustées à la Suisse – dix-neuvième rapport semestriel de MELANI
"Les faits saillants du premier semestre 2014 ont été une série d’attaques sophistiquées, recourant aux méthodes d’ingénierie sociale (social engineering) pour s’introduire dans des entreprises, des attaques de phishing ajustées à la Suisse ainsi que la faille de sécurité «Heartbleed» d’un logiciel de cryptage. Ces incidents et d’autres encore sont au cœur du 19e rapport semestriel publié aujourd’hui par la Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI." (1.11.2014)
Télécommunications > Neutralité des réseaux: rapport publié
"Biel/Bienne, 23.10.2014 - Poser les bases de la discussion sur la neutralité des réseaux: tel était le but d'un groupe de travail de la Confédération. Le rapport publié sur le site internet de l'Office fédéral de la communication (OFCOM) dresse un état des lieux sur la question. Divers spécialistes et représentants des milieux intéressés ont participé à l'élaboration de ce document entre octobre 2013 et octobre 2014." (1.11.2014)
CSO / CISO > Comment devenir un CISO
Première partie. (1.11.2014)
DDoS > Augmentation des attaques DDoS
Selon Symantec. (1.11.2014)
Protection des données > CNIL > Les packs de conformité : un succès grandissant
"Les packs de conformité constituent de nouveaux outils de pilotage de la conformité pour les secteurs professionnels qui en bénéficient. L'actualité est riche en octobre avec la présentation du pack logement social et le lancement de la concertation pour deux nouveaux packs pour les secteurs social et banque."
Vidéosurveillance au travail : mise en demeure de la société APPLE RETAIL France. (1.11.2014)
Partage de fichiers > Les utilisateurs de Dropbox ciblés par une attaque de phishing
"Un mail de phishing redirigeait les utilisateurs de Dropbox vers une fausse page de connexion pour leur voler leurs identifiants de connexion. La présence de plusieurs éléments SSL dans la page couplée à un nom de domaine crédible en ont fait une attaque aussi vicieuse qu'évoluée." (1.11.2014)
Transactions en ligne > Les transactions européennes en ligne visées par des cyberattaques
Mise en garde du PCI SSC.
(1.11.2014)
Cyberattaques > Le gouvernement chi-nois lance une "man-in-middle" attaque contre iCloud
Visant les nouveaux utilisateurs iPhone.
(1.11.2014)
ePaiement > Apple Pay séduit et inquiète la profession bancaire
"Cette application s’appuie sur le NFC (near field communication), une technologie qui permet d’effectuer un paiement sans contact, en passant l’objet qui en est doté à quelques centimètres du terminal de paiement. Une fonctionnalité intégrée à la majorité des cartes de paiement et des smartphones qui sortent sur le marché."
Quatre conseils de sécurité pour les utilisateurs d'Apple Pay.
(1.11.2014)
--------------------------------------------------------------------------------
Copyright © 2014 Aud-IT Sàrl Geneva. All rights reserved