Cette revue de presse généraliste et mensuelle a pour but de sensibiliser le public aux problématiques de la sécurité informatique.
N'hésitez pas à la diffuser dans vos réseaux !
Vous devez vous inscrire si vous souhaitez recevoir la lettre. Pour l'inscription (ou la désinscription) et la consultation des archives : https://groupes.renater.fr/sympa/arc/securite-informatique
Vous pouvez également retrouver toutes les lettres sur GitLab : https://gitlab.com/CedricGoby/newsletter-securite-informatique
Votre adresse email n'est utilisée que pour l'envoi de cette lettre, elle ne sera jamais communiquée à des tiers.
Connaître les outils, les étapes et les méthodes pour trouver les vulnérabilités avant les pirates : tel est le rôle des « pentesteurs » ou hackers éthiques.
https://www.lemondeinformatique.fr/actualites/lire-pentest-comment-les-hackers-ethiques-simulent-les-attaques-86050.html
Source : Le Monde Informatique
Si vous pratiquez cette merveilleuse discipline qu'est le Bug Bounty, vous avez surement déjà une boite à outils bien pratique. Mais si vous débutez, la bonne nouvelle c'est que le hacker éthique Kamil Vavra a compilé une « Awesome List » comme seul Github peut en héberger.
https://korben.info/bug-bounty-awesome-list.html
Source : Korben
Après avoir publié la version 7.0 de sa suite bureautique OnlyOffice, l'éditeur européen Ascensio lance son programme de "bug bounty". La chasse aux bugs et aux problèmes de sécurité est lancée.
https://www.toolinux.com/%3Fonlyoffice-cherche-des-chasseurs-de-bugs
Source : TOOLinux
Avec la présentation du projet de loi d'orientation et de programmation du ministère de l'Intérieur (LOPMI), le gouvernement présente les grandes lignes de sa transition numérique des forces de l'ordre esquissées à l'occasion du Beauvau de la sécurité au mois de janvier 2022.
https://www.zdnet.fr/actualites/loi-lopmi-pour-payer-la-rancon-il-faudra-deposer-plainte-39939113.htm
Source : ZDNet
La Commission européenne ouvre une consultation publique afin d'alimenter la rédaction du Cyber Resilience Act, véhicule envisagé pour réguler la sécurité des dispositifs connectés.
https://www.silicon.fr/securite-iot-ue-cyber-resilience-act-434444.html
Source : Silicon
Depuis le 3 mars 2022, la CNIL fait partie des membres du dispositif national d’assistance aux victimes de cybermalveillance et de prévention du risque numérique piloté par le Groupement d’Intérêt Public Action contre la cybermalveillance (GIP ACYMA).
https://www.cnil.fr/fr/cybersecurite-la-cnil-devient-membre-de-cybermalveillancegouvfr
Source : CNIL
HackerOne mène un nouveau combat et annonce le lancement d’un appel mondial en faveur d’une cybersécurité plus responsable. Le programme CSecR est lancé et il est déjà rejoint par plusieurs entreprises, dont Gitlab.
https://www.toolinux.com/%3Fun-appel-pour-plus-de-transparence-dans-la-securite-informatique
Source : TOOLinux
Alors que les années 2019 et 2020 avaient été marquées par une explosion des rançongiciels, cette menace s’est stabilisée, à un niveau néanmoins très élevé, entre 2020 et 2021, avec 203 attaques traitées contre 192 en 2020. Entitées touchées en premier lieu par les rançongiciels, les TPE, PME et ETI représentent 34% des victimes en 2021 (+53% par rapport à 2020) et sont suivies par les collectivités (19%) et les entreprises stratégiques (10%).
https://www.ssi.gouv.fr/actualite/une-annee-2021-marquee-par-la-professionnalisation-des-acteurs-malveillants/
Source : ANSSI
class="akismet_comment_form_privacy_notice">Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.
https://www.zataz.com/la-cyber-armee-ukrainienne-automatise-ses-attaques-contre-la-russie/
Source : ZATAZ
L’évolution constante du numérique nécessite un programme de sécurité fiable pour protéger les informations sensibles des particuliers, des entreprises et des organisations. Encore faut-il les identifier et les classer de manière proactive pour trouver le meilleur moyen de les sécuriser.
https://www.lebigdata.fr/informations-sensibles
Source : Le Big Data
Personnel insuffisant, budgets hétérogènes : selon les secteurs, les grandes organisations pèchent par leur manque de sécurité. Ce n’est qu’après une attaque qu’elles prennent en charge ce problème.
https://www.lemagit.fr/actualites/252514821/Cybersecurite-les-grandes-entreprises-francaises-a-la-traine
Source : LeMagIT
Créé à Lille, le Forum International de la Cybersécurité (FIC) lance sa première édition en Amérique du Nord. Elle se déroulera au Palais des Congrès de Montréal les 1er et 2 novembre 2022.
https://www.silicon.fr/cybersecurite-le-fic-a-la-conquete-de-lamerique-du-nord-434443.html
Source : Silicon
40 minutes suffisent pour casser un mot de passe de 8 caractères... il en faut au moins 16 pour être serein
Pour être à peu près en sécurité, il faut avoir des codes secrets d’au moins 11 caractères. Mais c’est mieux d’aller au-delà de 16 caractères.
https://www.01net.com/actualites/40minutes-suffisent-pour-casser-un-mot-de-passe-de-8caracteres-il-en-faut-au-moins-16-pour-etre-serein-2055328.html
Source : 01net
Le malware SharkBot de l'application Antivirus Super Cleaner peut voler vos identifiants bancaires et effectuer des transferts d'argent à votre place.
https://www.01net.com/actualites/un-cheval-de-troie-a-ete-decouvert-sur-le-play-store-dans-une-application-antivirus-2055374.html
Source : 01net
Proofpoint attire l'attention sur une backdoor qu'il a nommée Serpent. Elle cible des entités françaises au travers des gestionnaires de paquets pip et Chocolatey.
https://www.silicon.fr/serpent-backdoor-france-open-source-434854.html
Source : Silicon
Les chercheurs d'ESET ont découvert un nouveau malware de type wiper en Ukraine. Intitulé CaddyWipper, ce malgiciel est capable de détruire les données de manière irréversible. C'est le troisième wiper identifié depuis le début de l'invasion russe...
https://www.lebigdata.fr/caddywiper-malware-ukraine
Source : Le Big Data
Une vulnérabilité dans le noyau Linux a été découverte et relativement facile à exploiter. Elle touche plusieurs distributions Linux, ainsi qu'Android de Google.
https://www.lemondeinformatique.fr/actualites/lire-la-faille-dirty-pipe-menace-les-distributions-linux-et-android-86054.html
Source : Le Monde Informatique
Les attaquants peuvent injecter et exécuter du code malveillant via ces vulnérabilités critiques. HP conseille de mettre à jour le firmware de l'imprimante.
https://www.lemondeinformatique.fr/actualites/lire-plus-de-250-modeles-d-imprimantes-hp-vulnerables-86278.html
Source : Le Monde Informatique
Vos données personnelles terminent probablement sur des serveurs russes. Ce mardi 29 mars, le quotidien britannique Financial Times a révélé que des dizaines de milliers d'applications ont été développées grâce à un logiciel qui récupère les informations des utilisateurs. L'outil informatique est fourni par Yandex, un moteur de recherche russe, principal concurrent de Google dans ce pays. Les données récupérées sont par la suite stockées dans des serveurs en Russie et en Finlande.
https://www.numerama.com/cyberguerre/901247-un-logiciel-russe-collecte-des-informations-personnelles-depuis-plus-de-50-000-applications.html
Source : Numerama
Un « cyber évènement » dirigé contre le satellite KA SAT a privé des milliers d’Européens de connexion à Internet. Pire encore, près de 6000 éoliennes d’Enercom se sont retrouvées en pilotage automatique, la « panne » du satellite empêchant la gestion et la surveillance à distance du parc éolien.
https://www.linformaticien.com/magazine/cybersecurite/59441-un-satellite-attaque-met-des-milliers-d-eoliennes-hors-de-controle.html
Source : L'1FO Tech par L'Informaticien
Ameli a été victime d’une grosse fuite de données. Les pirates ont ciblé 19 très gros établissements de santé et ont mis la main sur des centaines de milliers de comptes.
https://www.clubic.com/internet/actualite-414291-assurance-maladie-plus-de-500-000-comptes-pirates.html
Source : Clubic.com
Une faille dans le système de validation des transactions sur la blockchain utilisée par Axie Infinity, le jeu play-to-earn le plus populaire au monde, a été exploitée par un pirate pour dérober 620 millions de dollars de cryptomonnaies.
https://www.usine-digitale.fr/article/blockchain-axie-infinity-victime-d-un-piratage-a-620-millions-de-dollars.N1802237
Source : L'Usine Digitale
Le ministère de la Justice américain a dévoilé le 24 mars dernier, les charges pesant contre quatre pirates russes. Ils sont accusés d'avoir mené des cyberattaques contre des infrastructures critiques liées au secteur de l’énergie.
https://www.linformaticien.com/magazine/cybersecurite/59559-quatre-hackeurs-russes-inculpes-aux-etats-unis.html
Source : L'1FO Tech par L'Informaticien
Lapsus$ : ados et failles critiques, que sait-on du piratage de Microsoft, Ubisoft, Samsung et Nvidia ?
Connu depuis la fin de l'année 2021, le groupe Lapsus$ a récemment fait parler de lui en piratant de très grandes entreprises.
https://www.journaldugeek.com/2022/03/30/lapsus-ados-et-failles-critiques-que-sait-on-du-piratage-de-microsoft-ubisoft-samsung-et-nvidia/
Source : Journal du Geek
Six millions de sites Internet ont été affectés par un pirate informatique. Si le mode opératoire du hacker n’est pas nouveau, l'ingéniosité du stratagème a été de faire référencer des publicités frauduleuses relayant de fausses stratégies d’investissement sur le moteur de recherche Google.
https://www.clubic.com/cybercriminality/actualite-406911-un-pirate-injecte-des-pubs-malveillantes-sur-6-millions-de-pages-web.html
Source : Clubic.com
Le ciblage numérique des électeurs, référencés dans d’immenses bases de données commerciales, est encadré par des règles relativement strictes, tout comme l’est l’organisation des réseaux de sympathisants inscrits dans les fichiers des partis. Par Martin Untersinger et Nicolas Six
https://www.lemonde.fr/pixels/article/2022/03/28/election-presidentielle-2022-que-peuvent-faire-les-partis-avec-vos-donnees-personnelles_6119540_4408996.html
Source : Pixels
Les versions de développement du navigateur Brave introduisent une nouvelle fonction de protection, Unlinkable Bouncing, capable de détecter le moment où vous êtes sur le point de visiter un site Web portant atteinte à la vie privée.
https://www.toolinux.com/%3Fbrave-unlinkable-bouncing-explication
Source : TOOLinux
La CNIL a publié, jeudi 10 février 2022, un article annonçant la mise en demeure d’un gestionnaire de site web français vis-à-vis de l’utilisation de la solution Google Analytics du géant américain pour cause de transfert hors UE. Voici quelques informations pour comprendre la situation et conseiller vos clients pour accompagner leur mise en conformité.
https://www.toolinux.com/%3Fla-cnil-sur-les-transferts-de-donnees-vers-les-etats-unis-le-cas-de-google
Source : TOOLinux
La FCC, commission américaine en charge des technologies de communications, a ajouté cette semaine l'entreprise russe Kaspersky à sa liste des sociétés présentant une menace pour la sécurité nationale .
https://www.clubic.com/antivirus-securite-informatique/logiciel-antivirus/kaspersky/actualite-415845-l-administration-americaine-place-l-antivirus-russe-kaspersky-sur-la-liste-des-logiciels-sensibles.html
Source : Clubic.com
Le système d'exploitation popularisé par Edward Snowden poursuit son évolution avec la sortie d'une mise à jour de correction postée le 8 mars 2022. Voici ce qu'il faut savoir sur Tails 4.28.
https://www.toolinux.com/%3Ftails-linux-nouvelle-version
Source : TOOLinux
Le blocage imposé par la Russie sur des services en ligne occidents, dont Twitter, peut être contourné plus aisément. Twitter est désormais accessible via Tor.
https://www.toolinux.com/%3Ftwitter-accessible-via-tor-notamment-en-russie
Source : TOOLinux
Les réseaux privés virtuels, plus communément appelés VPN ont le vent en poupe. Les internautes sont à la quête du meilleur fournisseur pour leurs besoins numériques. Pour tous les néophytes, voici une présentation simplifiée des VPN, ainsi que tous les principaux avantages.
https://www.toolinux.com/%3Futilisation-role-vpn-securite-informatique
Source : TOOLinux
Malgré les opportunités existantes et les compétences dont elles disposent, les femmes hésitent encore à postuler dans le secteur de la sécurité informatique.
https://www.journaldunet.com/management/direction-generale/1509909-les-femmes-dans-la-cybersecurite-il-est-temps-de-briser-les-stereotypes/
Source : Journal du Net
class="akismet_comment_form_privacy_notice">Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.
https://www.zataz.com/salaire-en-cyber-securite-la-france-mauvaise-eleve/
Source : ZATAZ
Depuis avril 2019, l’ANSSI et le ministère de l’Éducation nationale, de la Jeunesse et des Sports (MENJS) s’associent dans le but commun d’œuvrer au développement de la formation des élèves à la cybersécurité – en tant que domaine d’apprentissage – au-delà de leur sensibilisation au risque numérique et aux bonnes pratiques en la matière (en savoir plus).
https://www.ssi.gouv.fr/actualite/experimentation-cyberenjeux-plus-de-300-eleves-formes-a-la-cybersecurite-par-la-creation-de-jeux/
Source : ANSSI
Cédric Goby / UMR AGAP pour la Direction de la Sécurité des Systèmes d'Information INRAE (Institut national de la recherche pour l’agriculture, l’alimentation et l’environnement)
Cette lettre est publiée sous la licence Attribution 4.0 International (CC BY 4.0)
Découvrez les autres revues de presse !
Revue de presse "Open source" : https://groupes.renater.fr/sympa/info/open-source
Revue de presse "fablab" : https://groupes.renater.fr/sympa/info/fablab