Responsabiliser les éditeurs face aux failles de leurs logiciels
Aujourd’hui, la recherche de trous de sécurité n’est plus uniquement la préoccupation des éditeurs, mais également celle d’experts pas toujours très bien intentionnés.
Secu
SECU. Qu’elle soit informatique ou cyber, la sécurité des technologies de l’information s’applique aussi bien aux réseaux, à Internet, aux points de terminaison, aux API, au cloud, aux applications, aux conteneurs et à toutes les autres ressources qui ont besoin d’être protégées contre les attaques, les dommages ou les accès non autorisés. Personne n’a oublié la faille Log4Shell qui a affecté en 2022, la bibliothèque open source de gestion de logs Apache Log4j. Elle fait aujourd’hui référence en matière de risque de la supply chain logicielle. Mais ce n'est qu'un exemple parmi d'autres. Selon la dernière édition du baromètre du CESIN (qui compte plus de 900 responsables de la cybersécurité) : « en moyenne, les entreprises qui ont constaté au moins une attaque en ont concrètement subi 3 en moyenne dans l’année ». Le principal vecteur d’attaques constaté est une nouvelle fois le phishing devant l’exploitation d’une faille et l’arnaque au président (qui reste très présente). Les systèmes informatiques des entreprises sont donc mis à rude épreuve avec notamment la recrudescence de ransomwares, de botnets et d’autres calamités. Les menaces en matière de sécurité, peuvent paralyser en un clic tout ou partie du SI des sociétés et des établissements publics. Les attaques réussies font des dégâts sérieux. Dans 60 % des cas, elles impactent fortement le business des entreprises. Alors que les RSSI bataillent pour sensibiliser leurs salariés et qu’en France 91 % des attaques arrivent par mail, l’heure est à l’action. Avec un arsenal qui s’étoffe année après année, il faut comprendre la manière d’aborder ce chantier permanent afin de penser résilience du système d’information. D’ailleurs, la question n’est plus de savoir si vous allez être attaqué, mais quand et comment ?
Lire une tribune sur : Top 10 des attaques d’ingénierie sociale les plus courantes
Comment les Etats-Unis légitiment la cybersurveillance mondiale
La loi américaine FISAAA autorise, de facto, une cybersurveillance globale des données du cloud, selon une récente étude du Parlement européen. 01net a interrogé l’un des co-auteurs, Caspar Bowden, pour une explication en détail.
Rapport Clusif: le cyberespace se « militarise » de plus en plus
Selon le rapport annuel de l’association Clusif, les Etats renforcent leurs capacités défensives et offensives. Parallèlement, le nombre de malware bancaires sur mobile s’est envolé.
Java : une nouvelle faille zero-day est vendue au marché noir
Un cybercriminel a proposé, pour 5 000 dollars, un kit qui exploiterait une nouvelle vulnérabilité zero-day dans Java.
Kaspersky donne plus de détails sur l’opération « Red October »
Après avoir dévoilé Red October, un vaste réseau de cyber espionnage « russophone », Kaspersky poursuit son enquête et recherche l’origine de ces attaques et, surtout, la localisation du serveur central.
90 % des mots de passe peuvent être piratés
Le cabinet Deloitte prédit la mort de mots de passe courts utilisés sur Internet. Ils sont trop vulnérables. Les internautes doivent en créer de plus longs et plus compliqués.
L’enquête judiciaire sur Amesys, filiale de Bull, va continuer
La cour d’appel de Paris a rejeté l’appel du parquet et ordonné la poursuite de l’enquête sur Amesys, accusé de complicité de torture en Libye.
Kaspersky détecte une campagne cyberespionnage en Europe de l’Est
Les pays russophones se rassemblent pour faire front à Octobre Rouge, une vaste campagne de cyberespionnage qui vise les pays d’Europe de l’Est et de l’ex-URSS depuis cinq ans.
La météo sécurité du 14 janvier 2012
Chaque lundi, retrouvez avec 01net les prévisions et les recommandations sécurité de la semaine. Windows et Apple : Correctifs Internet Explorer et Microsoft mensuelsL’avis MS13-08 corrige enfin la vulnérabilité 0-day affectant Internet Explorer depuis fin décembre. Il faut envisager son […]
Valls et Pellerin veulent renforcer la lutte contre la cybercriminalité
Une convention a été signée par les deux ministres entre la CNIL et l’OCLCTIC, les « cyberpoliciers » de la police judiciaire française.
Avec l’EC3, l’UE et les USA renforcent leur lutte anti-cybercriminalité
Pour l’ Union Européenne et les Etats-Unis, l’objectif est le combat contre les cybercriminels. Un accord de coopération dans cette lutte a été mis en place à travers l’EC3 dont le centre vient d’être inauguré à […]
La CNIL vérifie que le passeport biométrique n’a que deux empreintes
Même si huit de vos doigts sont flashés lors de la demande de passeport, la CNIL a vérifié que seules deux empreintes digitales étaient conservées.
Avast : une version gratuite pour les PME le 15 janvier
L’éditeur de logiciels de sécurité proposera dès la semaine prochaine une version gratuite pour les PME.
Nouvelle faille zero day, il est urgent de désactiver Java !
Les failles de sécurité pour Java se multiplient, que ceux qui ne l’ont pas encore désactivé le fassent rapidement, c’est un conseil des experts en sécurité et du département de la Sécurité intérieur américain.
Les Etats-Unis, en route pour cybersurveiller toute la planète
Le Parlement européen révèle que les services gouvernementaux américains ont le droit de surveiller toutes données accessibles en ligne, notamment celles stockées dans les services cloud américain, comme ceux de Google ou d’Apple.
Cacher des messages dans les silences d’une conversation Skype
Des chercheurs polonais ont développé un logiciel qui permet de dissimuler des données dans les paquets vides d’une discussion en ligne sur Skype.
Anonymous : une pétition pour que les attaques en DDoS deviennent légales
Profitant d’un outil de démocratie numérique directe, les Anonymous ont déposé une pétition à la Maison Blanche pour que les attaques en déni de service deviennent une forme d’expression du mécontentement citoyen.
Police : la préplainte en ligne sera généralisée en mars 2013
Le système de préplainte sur Internet sera ouvert en mars. Réservé aux atteintes contre les biens, il servira à une prise de rendez-vous ultérieure.
L’armée sécurise le déploiement des correctifs Windows
La défense nationale a fait appel à Landesk pour automatiser les mises à jour de ses 130.000 postes de travail et 2500 serveurs. Un projet étalé sur moins de deux ans.
Windows RT a été « jailbreaké » par un hacker
Une faille permet de contourner le bridage applicatif des tablettes Windows RT, sur lesquelles on ne peut installer que les applications disponibles sur le Windows Store.
La météo sécurité du 7 janvier 2013
Chaque lundi, retrouvez avec 01net les prévisions et les recommandations sécurité de la semaine. Windows et Apple : correctifs mensuels MicrosoftL’année commence avec sept avis de sécurité pour le Patch Tuesday de janvier 2013 : deux critiques (un pour Windows 7 […]
L’Afnic est contre le filtrage DNS, jugé peu efficace
Le registre français vient de publier un rapport sur les conséquences du filtrage Internet par le DNS.
Les Anonymous promettent de frapper encore plus fort en 2013
Les Anonymous ont publié une vidéo rétrospective de leurs actions de l’année passée et en guise de bonne résolution promettent de se faire entendre à nouveau en 2013.
Un botnet Android qui envoie du spam par SMS
Les utilisateurs américains de smartphones Android sont sous la menace d’un réseau zombie qui se diffuse par des messages de hameçonnage par SMS.
Etude : les Français sont assez ignorants en sécurité informatique
Selon une étude d’Ipsos/Norton, les internautes français ne font pas vraiment la différence entre les différentes menaces sur la Toile. Et ils ne connaissent qu’une protection : l’antivirus.
La carte d’identité électronique sans calendrier ni budget
Retardé en 2012, le projet de carte d’identité électronique n’a ni calendrier de mise en place, ni budget 2013, précise un rapport du Sénat.
La météo sécurité du 10 décembre 2012
Chaque lundi, retrouvez, avec 01net et le Cert Devoteam, les prévisions et les recommandations sécurité de la semaine. Windows et Apple : correctifs mensuels MicrosoftPublication de 7 correctifs mensuels Microsoft dont 5 critiques et 2 importants. Ils corrigent 11 […]
Les entreprises françaises doivent se préparer à des cyberguerres
Les sociétés françaises son conscientes des dangers du cyberespaces. Le président du Club des directeurs de sécurité des entreprises déclaraient qu’il leur faut se préparer à des guerres cyber informatiques.
John McAfee demande l’asile politique au Guatemala
Toujours en fuite, l’ancien PDG américain est arrivé au Guatemala hier et espère pouvoir y trouver asile.
Orange s’associe à Lookout pour sécuriser les mobiles Android
Sur LeWeb12, Orange a annoncé un partenariat avec Lookout pour intégrer son application de sécurité sur les smartphones Android qu’il distribue en Europe.
La météo sécurité du 3 décembre 2012
Chaque lundi, retrouvez, avec 01net et le Cert Devoteam, les prévisions et les recommandations sécurité de la semaine. Windows et Apple : RASPréparez-vous aux correctifs mensuels de Microsoft. Ils arrivent la semaine prochaine. Linux : noyau LinuxPrésence d’une vulnérabilité non […]
L’Europe veut que les entreprises signalent leurs cyberattaques
La commissaire européenne Neelie Kroes plaide pour davantage de transparence dans la cybersécurité des entreprises afin de renforcer la sécurité informatique dans l‘Union européenne.
La météo sécurité du 26 novembre 2012
Chaque lundi, retrouvez, avec 01net et le Cert Devoteam, les prévisions et les recommandations sécurité de la semaine. Windows et Apple : Mac OS XCorrectif 10.8.2 pour les systèmes Mac de 2012. Linux : noyau LinuxCorrection de trois vulnérabilités pour […]
L’Anssi recrute des experts en cyberdéfense
L’Agence nationale de la sécurité des systèmes d’information (Anssi) embauche. A l’occasion des dernières Assises de la sécurité, Pascal Pailloux, son directeur général, a annoncé que l’Anssi prévoit de recruter 80 personnes en 2013. De fait, […]
Sécurité : « Le cloud est plus dangereux que les virus »
Pour Thierry Karsenti, directeur technique de Check Point pour l’Europe, le cloud pourrait s’avérer en définitive plus dangereux que les virus, contre lesquels les utilisateurs ont fini par apprendre à se préserver.
Les armes des cyberattaques pullulent sur internet
Les outils capables de mettre en panne les sites web évoluent. Ils servent principalement au racket des boutiques en ligne.
Des salariés sous contrôle ou sous surveillance ?
Grâce aux nouvelles technologies, les entreprises exercent un contrôle accru sur leurs salariés. Quelles sont les limites de ces pratiques ?
Des pare-feu virtuels chez Palo Alto Networks
Avec la gamme VM, le fournisseur cherche à mettre le pied sur le marché très convoité des centres de données.
La météo sécurité du 12 novembre 2012
Chaque lundi, retrouvez, avec 01net et le Cert Devoteam, les prévisions et les recommandations sécurité de la semaine. Windows et Apple : correctifs mensuels MicrosoftAppliquer les correctifs Microsoft de novembre pour corriger des vulnérabilités affectant toutes les versions d’Internet […]
La météo sécurité du 12 novembre 2012
Chaque lundi, retrouvez, avec 01net et le Cert Devoteam, les prévisions et les recommandations sécurité de la semaine. Windows et Apple : correctifs mensuels MicrosoftElection américaine mardi dernier, Patch Tuesday cette semaine : six avis, dont quatre critiques pour toutes les versions […]
Une compagnie américaine victime collatérale de Stuxnet en 2010
Vraisemblablement développé par les Etats-Unis et Israël, le virus Stuxnet aurait fait, en 2010, une victime collatérale américaine, la compagnie pétrolière Chevron, rapporte le Wall Street Journal.
Les photocopieurs, cibles potentielles de pirates informatiques
Connectés en réseau, les appareils bureautiques représentent une mine d’or pour les hackers, et cela d’autant plus qu’ils sont particulièrement vulnérables.
Grande promo sur les outils de piratage en Russie
Tout est à vendre ou à louer chez les hackers russes, du cheval de Troie au réseau de zombies. L’éditeur Trend Micro a mené l’enquête et nous livre un catalogue tarifé des « produits et services […]
Huawei est prêt à se faire ausculter par les autorités américaines
Le constructeur chinois propose de faire tester ses équipements et même d’en livrer le code source.
La météo sécurité du 05 novembre 2012
Chaque lundi, retrouvez, avec 01net et le Cert Devoteam, les prévisions et les recommandations sécurité de la semaine. Windows et Apple : Windows 8 déjà attaquéA peine Windows 8 sorti, certains affirment avoir découvert ou exploité des vulnérabilités. […]
La sécurité de Windows 8 déjà mise à mal par des hackers
A peine sortie, la nouvelle version de Windows 8 est déjà victime d’une faille de type zero day, découverte par une société française.
La météo sécurité du 30 octobre 2012
Chaque lundi, retrouvez, avec 01net et le Cert Devoteam, les prévisions et les recommandations sécurité de la semaine. Windows et Apple : Windows UpdateLa mise à jour pour les vulnérabilités présentes dans Flash Player dans Internet Explorer 10 se […]
La Poste ouvre son service d’identité numérique aux sites tiers
Le service de certification d’identité numérique de la Poste s’ouvre aujourd’hui à certains sites de partage de voitures, d’échanges et de locations de biens.
Euromillions.fr bloqué par des cyberactivistes religieux
Le site euromillions.fr est bloqué depuis dimanche 28 octobre matin. Des pirates avaient affiché un message condamnant les jeux de hasard pour leur « impureté ».
Les Français ambigus face aux risques numériques
Ils sont 76 % à publier sur un réseau social des informations personnelles, selon un sondage Ifop/Axa. Pourtant, 50 % se déclarent vulnérables.
