Android, Fuite de données, Identité numérique, Sécurité, Smartphone, Social engineering, Vie privée

Heartbleed, de retour dans nos smartphones

2 commentaires

Nous vous en parlions à l’époque, la faille heartbleed a été découverte/exploitée aussi dans les smartphones. Des millions d’appareils sous Android, non mis à jour (4.1.1 et antérieur), le sont encore. Un chercheur vient de lancer une alerte indiquant que des millions de smartphones sont tributaires des mises à jour des opérateurs, constructeurs. Bref, la faille OpenSSL fait encore des dégâts.

Luis Grangela, scientifiques portuguais, indique qu’une méthode de piratage exploitant Heartbleed peut être exploitée par des pitrates. Sa méthode utilise le Wi-Fi et des smartphones Android. Son attaque, baptisée Cupidon, est basée au niveau des tunnels TLS. Pour le chercheur, iOS d’Apple ne serait pas épargné.

Cybersécurité, Logiciels, Red Hat

Faille pour la librairie GnuTLS

Une nouvelle vulnérabilité de sécurité majeure a été découverte dans la bibliothèque cryptographique populaire GnuTLS qui laisse penser que Linux serait vulnérable à la possibilité malveillante d’exécution, à distance, d’un code pirate.

GNUTLS est une bibliothèque libre qui exploite le SSL (Secure Socket Layer), le Transport Layer Security (TLS) et du Datagram Transport Layer Security (DTLS). Bref, des protocoles qui sont utilisés pour offrir aux utilisateurs des communications sécurisées, chiffrées, donc normalement illisible par un personne non autorisée. La faille se trouve dans la façon d’analyser les identifiants de session du serveur.

Red Hat apporte toutes les explications, et le correctif qui est obligatoire pour sécuriser ses communications. Un serveur malveillant pourrait exploiter cette vulnérabilité en envoyant une session ID tellement longue que la bibliothèque plante et permet, dans la foulée, l’exécution du code malveillant via un outil de connexion TLS/SSL.

En Mars dernier, une autre vulnérabilité avait été corrigée dans la bibliothèque GnuTLS bibliothèque. Elle permettait de créer un certificat spécialement conçu qui pouvait être ensuite accepté par GnuTLS via un site pirate.

Entreprise, Identité numérique, Justice, Propriété Industrielle

Val Thorens, une marque protégée sur Internet

Comme l’explique le site Legalis, la station de ski Val Thorens est une marque qu’il vaut mieux éviter de détourner sur Internet.

Par un arrêt du 28 mai 2014, la cour d’appel de Lyon a estimé que les noms de domaine val-thorens.net et val-thorens.org appartenaient à la station de ski éponyme et non pas à l’internaute qui avait mis la main de ces adresses web. Pour la justice, il y a violation du droit d’auteur, même si la Ville et son office de tourisme n’avaient pas enregistré les noms de domaine.

Arnaque, escroquerie, Facebook, Piratage

Un malware trop poli pour être honnête

Un code malveillant s’adresse aux utilisateurs de manière courtoise et crypte une partie de son code avec des versets de la Bible, pour être le plus indétectable possible par les antivirus. Les Laboratoires antivirus Bitdefender mettent en garde les utilisateurs de Facebook et de Yahoo qu’un cheval de Troie se diffuse actuellement via les messageries instantanées. Le malware est détecté par Bitdefender sous le nom Gen:Variant.Downloader.167 et sévit déjà en France, aux États-Unis, au Royaume-Uni, en Allemagne, au Canada, au Danemark et en Roumanie.

Sa méthode d’action est peu banale : il s’adresse aux utilisateurs de Facebook et Yahoo de manière extrêmement polie (« I want to post these pictures on Facebook, do you think it’s ok ? » – j’aimerais poster ces photos sur Facebook, tu penses que c’est ok ?) et ajoute une URL vers les photos en question, sous forme de liens Dropbox ou Fileswap, des plateformes populaires pour l’échange de photos et vidéos.

Une fois le malware exécuté sur la machine, où il crée un dossier avec un nom aléatoire se terminant par .exe, il se propage sur Facebook et Yahoo! via la liste des contacts, et affiche une boite de dialogue sur l’écran de la victime lors de son installation : « Cette application n’est pas compatible avec votre version de Windows. Vérifiez les informations système de votre ordinateur pour déterminer si vous avez besoin du programme en version 32-bits ou 64-bits, puis contactez l’éditeur du logiciel ».

Un autre piège concernant Facebook remonte au mois de mars 2014, où l’on proposait de voir des vidéos de ses amis nus qui résultait en téléchargement d’un faux player Flash et infectait votre ordinateur.

Fuite de données, Identité numérique, Vie privée

Formulaire d’oubli de Google, oui mais…

Reputation VIP, l’un des leaders français de l’e-réputation, réagit de manière très positive à la mise en ligne du formulaire d’oubli de Google suite à la décision de la Cour de justice Européenne. Le droit à l’oubli sur Internet est un réel sujet de société, auquel la startup lyonnaise est confrontée quotidiennement. Bertrand Girin, PDG de Réputation VIP indique « que toute l’équipe est impressionnée par la rapidité d’action de Google, qui a mis en ligne rapidement le formulaire pour que certaines personnes physiques puissent soumettre leurs demandes de suppression de résultats ».

Mais de nombreuses questions se posent. Google cite comme critère de décision l’obsolescence, la pertinence ou encore l’excès. Ces termes ne sont-ils pas de parfaits exemples de notions subjectives ? Comment Google peut-il juger de cela ? N’est-ce pas aussi une dangereuse façon de renforcer davantage la toute-puissance du géant américain ? Que fera Google en cas d’homonymie ? Comment départager Jean Dupont le criminel de Jean Dupont le bon père de famille ? Qui devra occuper la page des résultats Google ? Et surtout comment Google saura-t-il qui est le Jean Dupont qui fait la demande de suppression ?

La CJUE demande que les personnalités publiques n’aient pas la même facilité que le citoyen lambda à faire supprimer les informations, mais à partir de quand devient-on une personnalité publique ? Le maire d’une petite commune n’est peut-être pas une personnalité publique pour vous, mais pour ses habitants ? Le chef d’entreprise qui passe régulièrement dans les médias sera-t-il considéré comme une personne publique ?

Enfin, on peut se poser la question du champ d’action de ce formulaire. Faut-il être citoyen européen ? Le formulaire parle actuellement de « certains utilisateurs », mais qui sont-ils ? De plus, le champ des suppressions reste-il borné aux moteurs de recherche européens ? Ou vos amis à New-York et Tokyo pourront-ils encore voir ce que vous ne verrez plus ?

Google a annoncé la mise en place d’un comité consultatif d’experts, mais là aussi une question se pose inévitablement, celle de la gouvernance. De quel type de personnes sera t’il composé ? Ces dernières seront-elles intégrées à Google ou indépendantes ? Bertrand Girin PDG de Réputation VIP : « Nous avions tout de suite compris que ce comité était indispensable, l’e-réputation est un sujet trop sensible pour que l’on puisse la juger sans en discuter. On touche à la vie des gens, à leurs opinions, et surtout à l’opinion que les autres ont d’eux. L’opinion est un sujet trop subjectif pour que l’on puisse la ranger dans des cases et automatiser nos jugements sur les comportements d’autrui »

Emploi, Entreprise

Hack4France

Le 1er Hackathon en ligne 100% Made in France. Pendant que le Ministre Arnaud  Montebourg annonce vouloir un OS 100% Français, faut-il lui rappeler que l’hexagone avait déjà, dès 1998, son OS baptisé Mandrake Linux, l’école privée d’informatique Epitech lance le 1er Hackathon dédiée aux start-ups françaises.

L’idée, inscrire votre API sur Hack4France, et montrez la puissance de votre concept et de vos données. Jusqu’au 22 juin, les développeurs du monde entier sont invités à se constituer en équipes de compétences complémentaires. Ils choisissent une des 10 APIs du challenge et commencent à coder on-line sur la plateforme du Hackathon. Les 5 applications les plus innovantes, toutes API confondues, seront présélectionnées pour participer à la finale qui se déroulera du 19 juin et 8 juillet.

Un concours sponsorisé par Microsoft, Bouygues Telecom et Total. Ce premier challenge d’innovation en ligne dédié aux start-ups françaises est organisé avec le soutien du ministère de l’Economie, du Redressement productif et du Numérique.

Android, ios, Logiciels, Sécurité

Renforcer la sécurité de l’Internet des Objets

Un commentaire

Wind River, éditeur de logiciels pour systèmes connectés intelligents, annonce un profil sécurité pour Wind River Linux, un logiciel certifiable selon le profil de protection GPOS (General Purpose Operating System) des Critères Communs, et ce, jusqu’au niveau d’assurance EAL 4.

Grâce à une connectivité plus importante entre les différents équipements, l’adoption d’une approche de développement bien établie et s’appuyant sur des normes telles que celles des Critères Communs peut aider à dissiper les inquiétudes en matière de sécurité autour de l’Internet des Objets (IdO). En outre, Wind River publie également la dernière version de Carrier Grade Profile for Wind River Linux, une plate-forme clé en main qui permet aux clients de bénéficier d’une distribution Linux de classe opérateur (Carrier Grade Linux CGL).

Ce profil sécurité se présente sous la forme d’un module logiciel à haute valeur ajoutée pour Wind River Linux. Il fournit de nouvelles fonctionnalités de sécurité permettant aux développeurs de faire face aux futures menaces liées à la montée en puissance de l’IdO. Ses principales fonctionnalités (un noyau renforcé, un démarrage sécurisé, un espace utilisateur axé sur la sécurité, ainsi que la base Wind River Linux compatible avec le Yocto Project) s’intègrent parfaitement avec les outils de validation, la documentation et les spécifications de prise en charge matérielle.

« Avec l’Internet des Objets, les besoins en matière de connectivité et de sécurité des équipements se complexifient ; malgré cela, les entreprises sont obligées de respecter des calendriers et des budgets de développement restreints, commente Dinyar Dastoor, vice-président en charge de la gestion des produits chez Wind River. Notre nouveau profil sécurité pour Wind River Linux fournit une plate-forme informatique sécurisée et fiable conforme aux normes de l’industrie. Elle permet aux clients de réduire leurs cycles de développement et de commercialiser plus rapidement leurs produits en proposant la sécurité, les performances et l’expérience utilisateur nécessaires pour les équipements d’aujourd’hui, de plus en plus intelligents et connectés, tous secteurs confondus. »

Avec l’effervescence résultant de tendances telles que l’Internet des Objets, les développeurs sont confrontés à de nouvelles problématiques de complexité pour gérer des projets nécessitant davantage de sécurité, d’informations, et de meilleures performances. Avec ce profil sécurité, les clients peuvent tirer parti des meilleures pratiques de sécurité appliquées dans de nombreuses industries et intégrées au profil de protection des Critères Communs. En outre, en cas d’évaluation nécessaire, il réduit les coûts et les délais de développement, de certification et de maintenance d’une distribution Linux complète en respectant le système d’évaluation des Critères Communs. Le profil sécurité fournit également un kit de certification afin de pouvoir certifier la conformité aux exigences fonctionnelles avec le niveau d’assurance requis. En démontrant que leurs produits fonctionnent sur une plate-forme de certification Wind River, les développeurs peuvent progresser bien plus rapidement au sein du processus de certification, habituellement complexe et coûteux. Avec l’aide de Wind River, les clients peuvent commercialiser leurs produits bien plus rapidement et répondre aux exigences de sécurité d’une variété de secteurs, tels que l’aérospatiale, la défense, l’automobile, l’industrie ou les réseaux.

D’autre part, la nouvelle version du profil Carrier Grade fournit la prise en charge du dernier noyau Linux 3.10 LTSIet de la prise en charge étendue d’une variété d’architectures matérielles. Ce profil inclut également la virtualisation des fonctions de routage et de transfert (VRF — Virtual Routing and Forwarding) avec des conteneurs permettant de fournir de manière transparente des fonctionnalités de niveau opérateur au sein d’un environnement virtualisé. À l’heure où le trafic de données repousse les limites des réseaux des opérateurs, et où l’industrie évolue vers des fonctions de virtualisation des fonctions réseau (NFV), il est essentiel de conserver une fiabilité de niveau opérateur et de se conformer aux exigences strictes en matière de performances et de sécurité définies par les accords de niveaux de services (SLA) garantis par les opérateurs à leurs clients aujourd’hui.

Wind River Linux offre une plate-forme Linux de classe commerciale ainsi qu’une expérience utilisateur aisée grâce à un ensemble riche de fonctionnalités basées sur les toutes dernières technologies open source, à des outils de développement totalement intégrés, à une équipe d’assistance présente dans le monde entier et à des services d’experts. Développé sur l’infrastructure de développement Yocto Project, Wind River Linux améliore la compatibilité entre les différentes plates-formes et l’interopérabilité des composants.

 

Banque, Cybersécurité

Le Maroc s’allie au Qatar contre les pirates informatiques

Le secrétariat général du gouvernement marocain vient d’annoncer un accord entre le Royaume du Maroc et le Qatar. Ce protocole couvre, en plus de la lutte contre les trafics d’armes, d’êtres humains, d’immigration clandestine, de contrebande, de drogues, d’argent, des actions et coopérations pour contrer les piratage informatiques, les adeptes du skimming (piratage de distributeur de billets) et du vol de données électroniques. L’accord institue également une collaboration maroco-qatarie dans les domaines de lutte contre les crimes financiers et les violations des droits de propriété intellectuelle. Un accord signé jusqu’en 2018. Un accord intéressant quelques jours après l’arrestation d’un pirate informatique Marocain, présumé proche d’Al Qaida. Un voleur de données bancaires qui aurait détourné de l’argent qu’il aurait envoyé ensuite en Syrie.

Entreprise

RSSIA 2014

Les Rencontres de la Sécurité des Systèmes d’Information Aquitaine se tiendront le 20 juin 2014 à Talence (région de Bordeaux).

Pour cette 6ième édition des RSSIA, le CLUSIR propose comme thématique : « La confiance numérique au cœur des nouveaux usages digitaux« . Avec entre autres sujets : la vie numérique, le numérique en Aquitaine, le Le SIEM, le NFC, la Cybercriminalité avec La gendarmerie de la Gironde ( Le NTECH ), Les Lanceurs d’alerte / Full Disclosure ou comment rompre le silence avec Olivier Laurelli (Bluetouff) et Damien Bancal (Zataz), Les objets connectés, Heartbleed le bug qui fait trembler l’IT, l’ OWASP , Les normes ISO 29000 avec la CNIL.Comme chaque année, Le Panorama de la Cybercriminalité sera présenté avec le CLUSIF.

Entrée libre et gratuite, sur inscription.

 

Cybersécurité, Facebook, Particuliers

Page Facebook contre le harcèlement

Un commentaire

Facebook s’est associé aux Drs Marc Brackett et Robin Stern du Centre pour l’intelligence émotionnelle de l’université Yale afin de fournir les ressources et outils permettant de faire face au harcèlement et à ses conséquences.

Voilà une excellente idée. On parle de harcèlement quand tous types de comportements continuellement agressifs, impliquant des pressions d’ordre social ou sur la taille physique, sont constatés. Les agressions physiques ou verbales, ainsi que les menaces, les rumeurs ou l’exclusion délibérée d’une personne d’un groupe sont toutes considérées comme du harcèlement.

La meilleure manière de répondre au harcèlement est d’aider les garçons et les filles à trouver leurs propres moyens de l’affronter. Seuls des efforts concertés entre les jeunes, les parents, les écoles, les institutions et les entreprises peuvent conduire à des résultats durables et efficaces. » indique Jon Kristian Lange, conseiller en chef du projet.

32 associations participent à l’opération dont PrevNet au Canada, l’ADL américain ou encore l’italien Save the Children et l’e-Enfance Français. L’espace dédié se trouve à l’adresse https://www.facebook.com/safety/bullying

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile