Cette revue de presse généraliste et mensuelle a pour but de sensibiliser le public aux problématiques de la sécurité informatique.
N'hésitez pas à la diffuser dans vos réseaux !
Vous devez vous inscrire si vous souhaitez recevoir la lettre. Pour l'inscription (ou la désinscription) et la consultation des archives : https://groupes.renater.fr/sympa/arc/securite-informatique
Vous pouvez également retrouver toutes les lettres sur GitLab : https://gitlab.com/CedricGoby/newsletter-securite-informatique
Votre adresse email n'est utilisée que pour l'envoi de cette lettre, elle ne sera jamais communiquée à des tiers.
Le bras de fer entre l'Ukraine et la Russie pourrait bien s'étendre au reste de l'Europe selon plusieurs experts sur le sujet. Ils craignent que les actions de la Russie ne puissent causer des dommages à l'ensemble de la région. La Banque centrale européenne alerte notamment sur le risque très élevé d'une cyberattaque coordonnée à l'encontre des banques du territoire. La BCE incite vivement les banques à se mettre en position de défense. Des tests sur leur capacité à lutter contre un incident de sécurité ont déjà été menés.
https://siecledigital.fr/2022/02/10/la-banque-centrale-europeenne-est-en-etat-dalerte-face-a-la-cybermenace-russe/
Source : Siècle Digital
L'Ukraine fait appel aux hackers du monde criminel pour assurer la cyberdéfense face aux Russes. En parallèle, le collectif Anonymous déclare la cyber-guerre à la Russie.
https://www.lebigdata.fr/ukraine-hackers-russie-anonymous
Source : Le Big Data
Empêcher l’accès aux réseaux est une technique de plus en plus utilisée pour faciliter un coup d’Etat, juguler un mouvement populaire, influer sur les résultats d’élections…
https://www.lemonde.fr/international/article/2022/01/31/couper-internet-une-arme-pour-les-regimes-autoritaires-africains_6111739_3210.html
Source : Pixels
Vous les avez sans doute vues sur les réseaux sociaux : les jours précédant l’invasion militaire russe en Ukraine, une série de vidéos et de photos ont été diffusées, montrant de prétendues attaques ukrainiennes ou des dégâts touchant le camp pro-russe. Autant de documents tombant à pic pour justifier l’opération militaire du Kremlin.
https://www.numerama.com/cyberguerre/866957-guerre-en-ukraine-comment-les-faux-grossiers-de-la-propagande-russe-ont-ete-reveles.html
Source : Numerama
Communauté, financement... l'activité de YesWeHack, la plateforme européenne de référence du bug bounty, a fortement progressé en 2021. Infographie.
https://www.silicon.fr/securite-participative-8-chiffres-essor-yeswehack-431505.html
Source : Silicon
style="text-align: justify;">L'OSINT exploite ces renseignements de sources ouvertes obtenus via des sources publiques : réseaux sociaux, sites web, etc. Mais aussi via les documents qu'il est possible de croiser : photos, vidéos, etc.
https://www.zataz.com/nouvelle-rubrique-sur-zataz-dediee-a-losint/
Source : ZATAZ
Le firewall est considéré comme la pierre angulaire de la sécurité des réseaux depuis les débuts d’Internet. Excellent moyen pour se protéger contre les menaces réseau, les pare-feu proposent toujours plus de fonctionnalités mais possèdent également des limites. Voici l’essentiel des informations à connaitre concernant l’utilisation d’un firewall.
https://www.lebigdata.fr/firewall-essentiel-a-savoir
Source : Le Big Data
Pour effacer ses traces après la fraude, ce cheval de Troie Android n’hésite pas à réinitialiser à l’état d’usine votre appareil. Ainsi, non seulement on se fait arnaquer, mais on perd en plus ses données personnelles.
https://www.01net.com/actualites/brata-le-malware-bancaire-qui-efface-toutes-vos-donnees-apres-les-avoir-volees-2054187.html
Source : 01net
Arnaques sur les réseaux sociaux : les chiffres 2021 ne sont pas bons du tout (insérez votre numéro de CB ici)
Les réseaux sociaux restent très attractifs pour les escrocs du Web. Ils le sont même de plus en plus, selon la FTC, l'autorité de la concurrence américaine.
https://www.clubic.com/cybercriminality/actualite-406416-arnaques-sur-les-reseaux-sociaux-les-chiffres-2021-ne-sont-pas-bons-du-tout-inserez-votre-numero-de-cb-ici.html
Source : Clubic.com
Les cybercriminels ciblent de plus en plus les serveurs Linux et les infrastructures en cloud pour lancer des campagnes de ransomwares, des attaques de cryptojacking et d'autres activités illicites. De nombreuses organisations se laissent aller à des attaques parce que l'infrastructure Linux est mal configurée ou mal gérée.
https://www.zdnet.fr/actualites/les-logiciels-malveillants-sous-linux-augmentent-et-les-entreprises-ne-sont-pas-pretes-39937185.htm
Source : ZDNet
Une faille critique aurait pu signer la fin de la plate-forme Optimism si le hacker Saurik (Jay Freeman) ne l'avait pas découverte.
https://www.generation-nt.com/ethereum-faille-permettait-generation-tokens-infinis-actualite-1997977.html
Source : GNT - actualités
La sécurité des Data Centers est une priorité absolue. Malheureusement, des chercheurs ont découvert plus de 20 000 Data Centers dont les systèmes de gestion sont vulnérables aux hackers à cause d'une mauvaise configuration. Les conséquences pourraient être catastrophiques...
https://www.lebigdata.fr/data-centers-hackers
Source : Le Big Data
Kraken est un nouveau botnet en cours de développement mais déjà très actif. Les hackers l’utilisent pour déployer des portes dérobées et des voleurs d’informations sensibles. Les chercheurs ont déjà identifié plusieurs variantes, toujours avec de nouvelles capacités.
https://www.lebigdata.fr/kraken-nouveau-botnet
Source : Le Big Data
Selon une étude menée par Sysdig, 75% des conteneurs comprennent une faille de sécurité importante ou critique. L'analyse fait également le point sur l'usage des conteneurs et la fin de la dominance de Docker.
https://www.lemondeinformatique.fr/actualites/lire-la-securite-des-conteneurs-sacrifiee-par-les-developpeurs-85630.html
Source : Le Monde Informatique
Six millions de sites Internet ont été affectés par un pirate informatique. Si le mode opératoire du hacker n’est pas nouveau, l'ingéniosité du stratagème a été de faire référencer des publicités frauduleuses relayant de fausses stratégies d’investissement sur le moteur de recherche Google.
https://www.clubic.com/cybercriminality/actualite-406911-un-pirate-injecte-des-pubs-malveillantes-sur-6-millions-de-pages-web.html
Source : Clubic.com
C'est une attaque par déni de service record que Microsoft a pu absorber au mois de novembre dernier. L'infrastructure Azure a mesuré un assaut avec un débit de 3,47 térabits par seconde.
https://www.clubic.com/pro/entreprises/microsoft/actualite-406773-microsoft-repousse-une-enorme-attaque-ddos-de-3-47-tbps-un-record.html
Source : Clubic.com
Un piratage exploite une faille chez Qubit Finance et dérobe 80 millions de dollars (M$). Acculé, le protocole DeFi tente de négocier.
https://www.linformaticien.com/59264-des-hackers-derobent-80-millions-de-dollars-sur-qubit-finance.html
Source : L'1FO Tech par L'Informaticien
L'évolution du secteur des cryptomonnaies est malheureusement parsemée de nombreux hacks et autres attaques. Un problème presque devenu banal depuis le développement parfois un peu trop précipité de la DeFi. Mais qui existait déjà bien avant, avec comme principale cible les plateformes d'échange détentrices de véritables fortunes numériques. Et dont l'un des records historiques n'est autre que le braquage du siècle perpétré en 2016 à l'encontre de Bitfinex. Mais tout cela pourrait enfin appartenir au passé, suite à deux arrestations effectuées hier aux États-Unis.
https://cryptoactu.com/hack-bitfinex-btc-retrouves-deux-personnes-interpellees/
Source : CryptoActu
La place de marché spécialisée dans la vente de NFT a été victime d’une violente attaque par phishing. Les hackers ont mis la main sur 254 tokens pour une valeur estimée à plus de 1,7 million de dollars.
https://www.01net.com/actualites/plusieurs-centaines-de-nft-ont-ete-derobes-sur-opensea-apres-une-attaque-par-phishing-2054870.html
Source : 01net
Quels droits donnons-nous aux réseaux sociaux ? Est-il facile de supprimer un contenu indésirable ?
https://wiki.pcet.link/faq/que-deviennent-mes-photos-et-videos-en-ligne
Source : Le Wiki d'Herminien
La commission mixte paritaire sur la proposition de loi sur le contrôle parental a été conclusive. Next INpact dévoile le document où l’on découvre que finalement les ordinateurs et autres équipements vendus sans système d’exploitation sont expressément hors de son champ.
https://www.nextinpact.com/article/49872/controle-parental-installe-par-defaut-pc-sans-systeme-dexploitation-epargnes
Source : Next INpact
Trois plaintes avaient été déposées contre Auchan, Decathlon et Sephora pour leur intégration de Google Analytics. Trois autres portant sur Facebook Connect sont en cours d'instruction. A terme, tous les services stockant des données aux Etats-Unis pourraient être visés.
https://www.journaldunet.com/media/publishers/1509221-google-analytics-declare-illegal-par-la-cnil-une-premiere-decision-avant-la-suite/
Source : Journal du Net
InterHop, association spécialisée dans le logiciel libre, a saisi la Commission nationale de l'informatique et des libertés (CNIL) pour que les acteurs d'e-santé comme Alan, HelloCare, Keldoc ou Maiia arrêtent d'utiliser Google Analytics. Selon eux, le service de mesure d'audience de sites internet de la firme de Mountain View traiterait les données qu'il collecte de manière illégale.
https://siecledigital.fr/2022/02/01/interhop-souhaite-que-les-plateformes-de-sante-arretent-dutiliser-google-analytics/
Source : Siècle Digital
La protection totale contre les cookies lutte contre le pistage intersite. Elle s'intègre dès maintenant dans Firefox Focus pour Android et sera bientôt intégrée à la version iOS/iPadOS. Explication et présentation.
https://www.toolinux.com/%3Ffirefox-focus-android-une-nouvelle-protection-de-la-vie-privee
Source : TOOLinux
Le navigateur sécurisé Tor Browser s'offre une nouvelle mise à jour copieuse, 11.0.6. L'occasion de mettre à niveau Firefox, NoScript, Tor Launcher, mais aussi Go.
https://www.toolinux.com/%3Ftor-browser-nouvelle-version-nouveautes
Source : TOOLinux
Radio France et la CNIL s’associent pour sensibiliser le grand public à la protection des données personnelles
Radio France, premier groupe radiophonique français et la CNIL, autorité indépendante chargée de veiller à la protection des données personnelles, annoncent la signature d'un partenariat visant à mieux exposer les enjeux liés à la protection des données sur les antennes de Radio France et dans ses actions de sensibilisation auprès des jeunes.
https://www.cnil.fr/fr/radio-france-et-la-cnil-sassocient-pour-sensibiliser-le-grand-public-la-protection-des-donnees
Source : CNIL
Le groupe Renew Europe, dirigé par Sophie in 't Veld, une eurodéputée centriste, réclamait une enquête sur l'utilisation abusive de certains États membres de l'Union européenne du logiciel espion Pegasus, édité par la société israélienne NSO Group. Une commission d'enquête va être créée au Parlement européen pour tenter de faire toute la lumière sur cette affaire.
https://siecledigital.fr/2022/02/11/quels-sont-les-gouvernements-de-lunion-a-avoir-utilise-le-logiciel-espion-pegasus/
Source : Siècle Digital
Le « New York Times » révèle que la police fédérale américaine avait signé un premier contrat avec NSO Group, abandonné après les révélations du « Projet Pegasus ». Par Damien Leloup
https://www.lemonde.fr/pixels/article/2022/01/28/le-fbi-a-achete-le-logiciel-espion-pegasus-en-2019_6111402_4408996.html
Source : Pixels
Depuis l'entrée en vigueur du RGPD, la protection des données personnelles est strictement encadrée. Malgré cela, les fuites de données demeurent monnaie courante avec l'avènement des technologies sans fil... Que peut-on faire contre l'essor du traçage cyberphysique ? Découvrez les enjeux juridiques et technologiques autour de cette question.
https://interstices.info/le-tracage-cyberphysique-des-personnes-et-la-vie-privee/
Source : Interstices
Des chercheurs ont montré la possibilité de s'appuyer sur les puces graphiques pour déterminer la navigation web d'internautes. La technique décrite, baptisée Drawnapart, soulève de gros soucis en termes de protection de la vie privée.
https://www.lemondeinformatique.fr/actualites/lire-utiliser-les-gpu-pour-traquer-la-navigation-web-85627.html
Source : Le Monde Informatique
Durant le mois de janvier, Google a annoncé son intention de faire annuler l'une de ses amendes infligées par la Commission nationale de l'informatique et des libertés (CNIL) en passant par le Conseil d'État. Ce dernier a rendu son verdict : il valide la sanction prononcée par la CNIL contre Google. La firme de Moutain View devra bien s'acquitter de la somme de 100 millions d'euros.
https://siecledigital.fr/2022/01/31/le-conseil-detat-confirme-lamende-de-la-cnil-prononcee-en-2020-envers-google/
Source : Siècle Digital
La CISA, homologue américaine de l'ANSSI, a publié une liste de produits et services de sécurité gratuits. Focus sur les 25 outils open source qui y figurent.
https://www.silicon.fr/cybersecurite-outils-open-source-anssi-americaine-432732.html
Source : Silicon
OWASP Zed Attack Proxy alias ZAP est un outil de scan qui permet de tester la sécurité de votre site. ZAP est un logiciel libre qui se comporte comme un proxy man in the middle. Il se place entre le navigateur du testeur et l'application web afin d'intercepter et d'inspecter les messages envoyés entre ces derniers. Il tente ensuite, si besoin, d'en modifier le contenu si nécessaire, pour enfin transmettre ces paquets à leur destination.
https://korben.info/owasp-zed-attack-proxy.html
Source : Korben
La fondation pour la sécurité de l’open source (Open Source Security Foundation, ou OpenSSF) a annoncé une campagne pour améliorer la sécurité des logiciels open source. Cette initiative, appelée Alpha-Omega Project, bénéficie pour commencer d’un financement de 5 millions de dollars, apporté par Google et Microsoft.
https://www.zdnet.fr/blogs/l-esprit-libre/google-et-microsoft-financent-la-securite-de-logiciels-open-source-39937315.htm
Source : ZDNet blogs : l-esprit-libre
Responsables SSI, consultants et chefs de projet cyber font partie des profils les plus demandés pour faire face aux cyberattaques en France.
https://www.silicon.fr/cybersecurite-5-profils-recherches-432092.html
Source : Silicon
Hello, je ne vais pas revenir en détails sur le fonctionnement du DNS over HTTPS puisque j'ai déjà mis en ligne 2 merveilleux articles sur le sujet :
https://korben.info/dns-over-https-windows-11-doh.html
Source : Korben
Le 28 juin 2022, la CNIL organisera à Paris la première édition de Privacy Research Day, une conférence internationale dédiée à la recherche dans le domaine de la protection de la vie privée et des données personnelles. À l’occasion de cet évènement, des chercheurs internationaux présenteront leurs travaux. L’appel à communication est ouvert jusqu’au 1er avril 2022.
https://www.cnil.fr/fr/evenement-la-cnil-organise-la-premiere-edition-du-privacy-research-day
Source : CNIL
Cédric Goby / UMR AGAP pour la Direction de la Sécurité des Systèmes d'Information INRAE (Institut national de la recherche pour l’agriculture, l’alimentation et l’environnement)
Cette lettre est publiée sous la licence Attribution 4.0 International (CC BY 4.0)
Découvrez les autres revues de presse !
Revue de presse "Open source" : https://groupes.renater.fr/sympa/info/open-source
Revue de presse "fablab" : https://groupes.renater.fr/sympa/info/fablab