Archives quotidiennes :

Cybersécurité, loi

Terrorist Travel Prevention : vos identifiants aux réseaux sociaux pour vous rendre aux USA

Terrorist Travel Prevention – Le gouvernement Américain est en train de peaufiner des nouveautés pour se rendre sur son territoire comme la fourniture de ses identifiants aux réseaux sociaux.

Terrorist Travel Prevention – Ambiance sympathique à venir, au passage de la frontière américaine. Pour ceux qui ont la chance, comme votre serviteur, de se rendre souvent sur le sol de l’Oncle Sam, le passage devant les « souriants » et très pointilleux policiers des frontières américaines (Customs and Border Protection) peut en refroidir plus d’un. Questions à la tonne via le formulaire I-94 : « Quelqu’un dans votre famille était nazi durant la guerre ? » et les CBP : « Placez vos dix doigts sur le capteur » ; « Ne souriez pas à la caméra » …

Prochainement, du moins si le gouvernement fédéral d’Obama fait voter ce renforcement de la loi de 2015 « Terrorist Travel Prevention« , les voyageurs seront invités à fournir leurs identifiants aux réseaux sociaux. On ne parle pas, évidement, des mots de passe, mais au moins l’adresse de votre Twitter, Facebook, Google+, … Pour traduire, il sera demandé vos logins, userID, Username. Une invitation qui pourrait devenir rapidement une obligation si les « gardiens » décident de trouver bizarre que vous n’en possédiez pas. Seront concernés, les ressortissants de pays n’ayant pas obligation à posséder un Visa, soit 38 pays, dont la France. Bref, ça va être sympa si, comme moi, vous utilisez une quarantaine de comptes et réseaux sociaux.

Il faudra m’expliquer à quoi servira cette fourniture aux autorités fédérales. Déjà que pour avoir son ESTA, les informations demandées sont légions. Rien n’empêche de garder certains de ses comptes sociaux secrets. A moins que les sbires d’Obama souhaitent comparer les IP des comptes proposés avec les IP de comptes surveillés, mais non identifiés. Seulement 800 personnes ont répondu à la consultation lancée par la Maison Blanche. La grande majorité indique que cette nouveauté ESTA est « ridicule« , « inutile« , « Une proposition de Donald Trump ?« .

Cybersécurité, Entreprise, Fuite de données, Mise à jour, Propriété Industrielle, Social engineering

Filtre anti espion sur les prochains Hewlett-Packard

Le géant de l’informatique Hewlett-Packard s’associe avec 3M pour préinstaller sur ses prochains ordinateurs portables professionnels un filtre anti espion.

Filtre anti espion – Quoi de plus courant que de croiser à la terrasse d’un café, dans le train ou dans un aéroport ces fiers commerciaux pressés de travailler, même dans un lieu non sécurisé. Autant dire que collecter des données privées, sensibles, en regardant juste l’écran de ces professionnels du « c’est quoi la sécurité informatique ? » est un jeu d’enfant.

Hewlett-Packard (HP), en partenariat avec 3M, se prépare à commercialiser des ordinateurs portables (Elitebook 1040 et Elitebook 840) dont les écrans seront équipés d’un filtre anti voyeur. Un filtre intégré directement dans la machine. Plus besoin d’utiliser une protection extérieure.

Une sécurité supplémentaire pour les utilisateurs, et un argument de vente loin d’être négligeable pour le constructeur. Selon Mike Nash, ancien chef de la division de sécurité de Microsoft et actuellement vice-président de Hewlett-Packard, il est possible de croiser, partout, des utilisateurs d’ordinateurs portables sans aucune protection écran. Bilan, les informations affichés à l’écran peuvent être lues, filmées, photographiées.

Le filtre pourra être activé et désactivé à loisir.

Cybersécurité, Entreprise, Propriété Industrielle, Rendez-Vous

Les nouvelles technologies placent la sécurité au cœur du FIC 2017

Le FIC 2017, qui réunira l’ensemble des acteurs publics et privés, les 24 et 25 janvier prochains à Lille, permettra d’échanger autour des défis d’un monde toujours plus connecté et de participer à la construction d’un espace numérique sécurisé.

FIC 2017 – Organisé conjointement par la Gendarmerie Nationale, CEIS et EuraTechnologies, et co-financé par la Région Hauts-de-France, la 9è édition du Forum International de la Cybersécurité sera consacrée à la sécurité de demain et aux nouveaux usages.

« Les usages pour le meilleur sont parfois au service du pire. Les prédateurs l’ont bien compris. Ils viennent dans l’espace numérique qui leur offre le meilleur rapport gain/risque pénal. La cybercriminalité est la criminalité du XXIe siècle, comme nous l’écrivions lors de la fondation du FIC, en 2007. Il est désormais urgent de mobiliser tous les acteurs publics et privés, car l’enjeu est bien la nature de la « nouvelle société » qui sera la nôtre dans une quinzaine d’année » explique le Général Marc Watin-Augouard, fondateur du FIC.

Dans un contexte de loi pour une République numérique sur le plan national, et d’une Europe de la cybersécurité plus que jamais en marche, l’événement européen de référence réunissant tous les acteurs de la confiance numérique rassemblera représentants de la société civile, offreurs de services et de solutions de sécurité de confiance, utilisateurs finaux, monde public et sphère académique.

Des interrogations stratégiques à l’échelle européenne

La directive NIS met déjà en place un groupe de coordination, ainsi qu’un réseau réunissant les CERT. Mais la Commission souhaite aller plus loin et proposera début 2017 un schéma directeur prévoyant un plan de coordination en cas de cyber attaque de grande ampleur avec la participation de l’ENISA, des CERTs et d’EC3 (Europol).

Placé au cœur de l’actualité, le FIC 2017 sera l’occasion d’avancer des pistes de réflexion dans la gestion des crises cyber à l’échelle européenne et, après l’adoption du « Privacy Shield », d’échanger sur les ambitions numériques de l’Europe.

Le partage d’expérience : une piste d’amélioration pour la filière cybersécurité
Les 3 premiers arrêtés pris à la suite de la Loi de programmation militaire (LPM) ont été publiés récemment (produits de santé, gestion de l’eau, alimentation). Le FIC 2017 permettra d’assister à des retours d’expérience d’infrastructures critiques de nos voisins européens.

FIC 2017 – L’humain, clé de la réussite d’une stratégie de cybersécurité

La formation, la sensibilisation, la mobilisation des métiers autour des enjeux de cybersécurité, la recomposition du paysage des fonctions IT… Ces sujets, traités lors de la prochaine édition du Forum International de la Cybersécurité, place l’homme au cœur des débats. Quels sont les nouveaux outils de la sensibilisation ?  Comment associer les métiers aux démarches de sécurité ? Quelle place donner à la sécurité dans l’entreprise ? Autant de questions auxquelles tenteront de répondre les experts en cybersécurité et les directeurs métiers, des secteurs publics et privés.

Répartis sous 7 thèmes : Enjeux internationaux – La filière cybersécurité – La sécurité en entreprise – Lutte anti-cybercriminalité – Nouvelles technologies – Questions de société – et Technologies de sécurité, les plénières, conférences et ateliers du FIC permettront de couvrir les sujets selon un enjeu stratégique, juridique, industriel ou technologique.

Parmi les  sujets phares de cette 9è édition du Forum International de la Cybersécurité figurent également :
– Bug bounty, mode d’emploi
– Le développement du Shadow-IT : risque ou opportunité ?
– Le ransomware : quelles solutions pour ces nouvelles menaces multiformes ?
– Droit et cybercriminalité : quelles évolutions pour une législation plus efficace ?
– Le véhicule autonome : comment sécuriser la conduite en toute sécurité
–  La blockchain : quelles applications concrètes pour une technologie prometteuse ?
– Smart City : big mother en puissance ?
–   La santé peut-elle être connectée en toute sécurité ?
– La maitrise de la sphère numérique individuelle, un nouveau défi pour les utilisateurs connectés
– Monde virtuel, monde réel, liaisons dangereuses ?
– Cyberdéfense : l’automatisation est-elle synonyme d’intelligence ?

FIC 2017 – Ouverture des inscriptions pour le prix de la PME innovante

En janvier dernier, 40 PME avaient concourues au Prix de la PME innovante qui vise à la fois à encourager la recherche et l’innovation dans le secteur de la cybersécurité et à valoriser les PME. Lors du FIC 2016, le Prix de la PME innovante avait été attribué à Cyber Test Systems et le Prix spécial du jury à TrustinSoft. Les inscriptions pour le Prix de la PME 2017, parrainé par Airbus Defence and Space sont ouvertes.

Cybersécurité, Linux

La Fondation Linux annonce le lancement d’une nouvelle formation online axée sur la sécurité à l’occasion des 25 ans de Linux

2 commentaires
La Fondation Linux poursuit sa mission dans le domaine de la sécurité avec une nouvelle formation orientée vers le développement des logiciels open source.

La Fondation Linux, l’organisation à but non lucrative fomentant la gestion professionnelle de l’open source destinée à la collaboration de masse, a annoncé la disponibilité d’un nouveau cours de formation en ligne, Linux Security Fundamentals (LFS216). Ce cours en autoformation est une nouvelle preuve du dévouement de la Fondation Linux au renfort de la sécurisation d’Internet, des autres logiciels Linux et open source ainsi que des infrastructures informatiques.

« Le logiciel Open Source est présent presque partout sur Internet et il génère des milliards de dollars d’affaires, mais de nombreux projets manquent encore d’un processus de sécurité rigoureux, » affirme Nicko van Someren, directeur des techniques informatiques à la Fondation Linux. « Dès le premier jour, la formation professionnelle et universitaire joue un rôle clé dans la garantie d’un niveau élevé en matière de sécurité, de qualité et de fiabilité des projets open source. Qu’ils soient de type libre ou propriétaire, la sécurité des logiciels doit débuter le plus tôt possible si l’on tient à minimiser les risques. »

En plus de soutenir le développement de Linux et d’autres logiciels open source fondamentaux, la Fondation Linux a pris des mesures pour s’assurer que le logiciel dont elle contribue à la production est sécurisé et que les utilisateurs disposent de toutes les ressources dont ils ont besoin pour réussir. Ces efforts regroupent le Badges Program de la Core Infrastructure Initiative, dans le cadre duquel des projets open source tels qu’OpenStack peuvent mettre en avant un développement centré sur la sécurité. Avec Let’s Encrypt, la Fondation Linux et ses partenaires ont contribué à sécuriser plus de 5 millions de sites Internet et elle espère finalement atteindre un degré de sécurisation de 100% pour Internet à l’aide du HTTPS. Cette formation axée sur les compétences qui est chargée d’enseigner aux utilisateurs la manière dont ils peuvent maximiser la sécurité des systèmes s’inscrit comme un complément essentiel de ces initiatives.

Le cours d’Introduction à la sécurité sur Linux couvre les bases que tout professionnel de l’informatique travaillant avec Linux doit connaître. Il commence par un aperçu sur la sécurité informatique, puis évoque la manière dont la sécurité concerne l’ensemble des membres des chaînes de développement, d’implémentation, d’administration et d’utilisation finale.

Les sujets spécifiques couverts incluent notamment :
?     Évaluation des menaces et des risques
?     Audits et détection
?     Sécurité des applications
?     Vulnérabilités du noyau
?     Sécurité des systèmes locaux
?     Sécurité des réseaux
?     Déni de service (DoS)
?     Pare-feu et filtrage de paquets

LFS216 est conçu pour les personnes participant à des tâches liées à la sécurité à tous les niveaux. Les classes pratiques utilisent des applications virtuelles pour démontrer « ce qui se passe », plutôt que de se reposer sur des exercices de rédaction dans le but de configurer des serveurs complexes. À la fin du cours, les étudiants seront en mesure d’évaluer les besoins actuels en matière de sécurité, d’évaluer la préparation actuelle en matière de sécurité et de mettre en place les options de sécurité demandées. Ce cours est la deuxième offre de la Fondation Linux en matière de sécurité, la première étant le cours Linux Security (LFS416), dispensé par un formateur depuis 2013.

« Nous savons que la sécurité est une préoccupation pour toutes les organisations du domaine de l’informatique, c’est pourquoi la Fondation Linux organise des initiatives telles que la Core Infrastructure Initiative et Let’s Encrypt, visant à simplifier la protection des données et des systèmes sensibles, » affirme Clyde Seepersad, directeur général de la formation de la Fondation Linux. « Ces efforts importants ne peuvent cependant aller plus loin ; c’est pourquoi faciliter la formation professionnelle aux meilleures pratiques de sécurité du personnel à tous les niveaux demeure essentiel pour s’assurer que tous les systèmes restent stables et sécurisés. »

L’inscription à LFS216 est à présent disponible au tarif de 199 $. Dans le cadre du 25e anniversaire, les particuliers pourront acquérir jusqu’au 28 août une offre regroupant le nouveau cours Introduction à la sécurité sur Linux ainsi que LFS201 – Principes de base de l’administration système, LFS211 – Réseaux et administration de Linux et LFS265 – Introduction aux réseaux basés sur les logiciels pour seulement 250 $, soit une économie de 75 %. Cette offre apportera aux futurs administrateurs systèmes Linux toutes les connaissances dont ils ont besoin pour se lancer sur le terrain et elle les préparera à l’examen Sysadmin, certifié par la Fondation Linux.

Chiffrement, cryptage, Cybersécurité, Justice, loi

Lutte anti-terrorisme et chiffrement : le Conseil national du numérique lance une réflexion à la rentrée 2016

Mardi 23 août, le ministre de l’Intérieur Bernard Cazeneuve a rencontré son homologue allemand pour soutenir une initiative européenne de lutte contre le terrorisme visant à limiter le chiffrement. En réaction, le Conseil national du numérique (CNNum) souhaite instruire les implications politiques, sociales et économiques d’une limitation du chiffrement. Le Conseil se saisira de cette question à la rentrée pour apporter sa contribution au débat.

A l’initiative du Président du CNNum Mounir MAHJOUBI, plusieurs membres du Conseil et experts extérieurs (dont Isabelle FALQUE-PIERROTIN – Présidente de la CNIL, Gilles BABINET – Digital Champion de la France auprès de l’Union européenne et Tristan NITOT – Fondateur de Mozilla Europe et Chief Product Officer de Cozy Cloud) se sont exprimés en faveur du chiffrement dans une tribune publiée dans “Le Monde” le 22 août. Ils alertent le gouvernement français sur les conséquences graves et non anticipées d’une limitation du chiffrement ou d’une généralisation des portes dérobées (backdoors). De telles mesures auraient pour conséquence d’affaiblir la sécurité des systèmes d’information dans leur ensemble” en ouvrant des failles de sécurité utilisables par tous, à des fins légitimes ou mal-intentionnées. De plus, elles auraient “une efficacité toute relative sur l’infime minorité d’utilisateurs ciblés”.

Accusé de faciliter la propagande et la préparation d’actes terroristes, le chiffrement est avant tout utilisé par les citoyens, entreprises et pouvoirs publics pour protéger des communications ou transactions. Il consiste à protéger des données en les rendant illisibles de l’extérieur et déverrouillables par une clé.

Mounir MAHJOUBI, Président du CNNum, résume ainsi les enjeux : “Il n’est pas question de nier les enjeux de sécurité et l’urgence d’agir. Le chiffrement peut être utilisé par des terroristes mais il constitue surtout un élément essentiel de notre sécurité en ligne et, partant, de celle de notre pays.

Afin d’apporter à ce débat un éclairage à la hauteur des enjeux liés au chiffrement, le Conseil national du numérique prévoit donc de lancer dès la rentrée des travaux dédiés à ce sujet, notamment sur les règles de coopération judiciaire internationale et la généralisation d’une culture du chiffrement.

Chiffrement, cryptage, Cybersécurité, Espionnae, Logiciels, Microsoft, Mise à jour, Particuliers, Patch

Microsoft diffuse des infos chiffrées via votre port 80

Microsoft se fait envoyer, de votre ordinateur, des informations chiffrées. Toutes les 5 minutes des « trucs » passent par le port 80 de votre machine.

Âllo, le port 80 ? Voilà qui est « amusant ». Mike Patterson, patron de la société Plixer, spécialisée dans la sécurité informatique, découvre que les options de « confidentialité » proposées par Windows 10 ne servent à rien, mais qu’en plus, l’OS du géant américain communique toutes les 5 minutes des données chiffrées à un de ses serveurs.

Finesse de la chose, pour ne pas éveiller les soupçons, les données chiffrées communiquées à ssw.live.com le sont pas le port 80, via un bon gros HTTP. Il faut dire aussi que si les informations collectées, on ne sait pas lesquelles, passaient par un HTTPS (port 443), les soupçons auraient été plus rapide.

Lors de sa recherche, Mike Patterson a découverte que l’éditeur d’antivirus McAfee, ainsi que le fabriquant de casque Plantronics agissaient aussi de la sorte. [Techradar]