Skip to content

Files

Latest commit

 

History

History
263 lines (204 loc) · 21.8 KB

lettre-securite-informatique-112022.md

File metadata and controls

263 lines (204 loc) · 21.8 KB

Revue de presse "Sécurité informatique" du mois de novembre 2022

Cette revue de presse généraliste et mensuelle a pour but de sensibiliser le public aux problématiques de la sécurité informatique.
N'hésitez pas à la diffuser dans vos réseaux !
Vous devez vous inscrire si vous souhaitez recevoir la lettre. Pour l'inscription (ou la désinscription) et la consultation des archives : https://groupes.renater.fr/sympa/arc/securite-informatique
Vous pouvez également retrouver toutes les lettres sur GitLab : https://gitlab.com/CedricGoby/newsletter-securite-informatique
Votre adresse email n'est utilisée que pour l'envoi de cette lettre, elle ne sera jamais communiquée à des tiers.

SECURITÉ & CYBERSECURITÉ

Catastrophique : voici les mots de passe les plus utilisés en France en 2022

Deux nouveaux rapports dévoilent les mots de passe les plus utilisés en 2022. Ces données venant du dark web révèlent, encore une fois, les terribles choix faits par une majorité d'utilisateurs, au détriment de leur sécurité.
https://www.01net.com/actualites/catastrophique-voici-les-mots-de-passe-les-plus-utilises-en-france.html
Source : 01net

5 sites pour savoir si vos infos ont fuité sur le web

Il est presque impossible aujourd’hui d’échapper aux fuites de données. Environ 4 000 entreprises subissent chaque année un piratage des bases d’informations clients. C’est généralement la cible principale des pirates, qui recherchent ces fichiers comme on déterrerait une pépite, pour les revendre ensuite sur le darknet.
https://www.numerama.com/cyberguerre/1164940-5-sites-pour-savoir-si-vos-infos-ont-fuite-sur-le-web.html
Source : Numerama

Déchets électroniques : êtes-vous sûrs d’avoir bien effacé vos données ?

En matière de cybersécurité, il y a une chose que les entreprises et les organisations doivent également prendre en compte : les déchets électroniques. Au-delà de la question écologique, ces déchets peuvent également renfermer des données. Ce qui signifie qu’il y a risque d’exposition.
https://www.lebigdata.fr/dechets-electroniques
Source : Le Big Data

Les Etats-Unis bannissent les équipements télécoms et de surveillance vidéo chinois

Vendredi, les Etats-Unis ont interdit les autorisations pour les équipements chinois de télécommunications et de surveillance vidéo considérés comme une menace pour la sécurité nationale.
https://vipress.net/les-etats-unis-bannissent-les-equipements-telecoms-et-de-surveillance-video-chinois/
Source : VIPress

Lutte contre la Cybercriminalité : le Parlement européen vote la directive NIS 2

Avec la directive NIS 2 adoptée jeudi 10 novembre par le Parlement européen, l’Union européenne cherche à renforcer et harmoniser les règles en matière de cybersécurité dans des secteurs clés.
https://www.linformaticien.com/magazine/cybersecurite/60269-lutte-contre-la-cybercriminalite-le-parlement-europeen-vote-la-directive-nis-2.html
Source : L'1FO Tech par L'Informaticien

Filtre anti-arnaque et cyberscore : les boucliers numériques du gouvernement pour renforcer notre cybersécurité

Face à la « jungle » numérique, le gouvernement français entend développer un étiquetage de la sécurité des sites et services numériques. Ainsi qu’une extension pour navigateur chargée de lutter contre les arnaques en ligne.
https://www.01net.com/actualites/filtre-anti-arnaque-et-cyberscore-les-boucliers-numeriques-du-gouvernement-pour-renforcer-notre-cybersecurite.html
Source : 01net

Voyager en dehors de l’UE : la checklist de la CNIL pour protéger votre téléphone, ordinateur ou tablette

Pour voyager en dehors de l’Union européenne en toute sérénité, n’oubliez pas de protéger vos données ! La CNIL propose une checklist pour sécuriser votre téléphone, votre ordinateur ou votre tablette.
https://www.cnil.fr/fr/voyager-en-dehors-de-lue-la-checklist-de-la-cnil-pour-proteger-votre-telephone-ordinateur-ou
Source : CNIL

France 2030 : 17 nouveaux projets sélectionnés pour la cybersécurité

Le jeudi 27 octobre 2022, le ministre délégué chargé de la Transition numérique et des Télécommunications et la Directrice de la Mission French Tech ont dévoilé les 17 lauréats du premier French Tech DeepNum20.
https://www.entreprises.gouv.fr/fr/actualites/france-2030/france-2030-17-nouveaux-projets-selectionnes-pour-la-cybersecurite
Source : Direction générale des entreprises

Un « bouclier cyber » déployé pour les petites et moyennes entreprises

Un dispositif national d’accompagnement des petites et moyennes entreprises (PME) et des entreprises de taille intermédiaire (ETI) dans leur démarche de cybersécurisation va être mis en place en 2023.
https://www.entreprises.gouv.fr/fr/actualites/numerique/politique-numerique/bouclier-cyber-deploye-pour-petites-et-moyennes-entreprises
Source : Direction générale des entreprises

SecNumCloud : l’essentiel sur les évolutions majeures de la version 3.2 du référentiel

SecNumCloud 3.2 est une version majeure du référentiel de l’ANSSI qui impose l’application exclusive du droit européen au prestataire pour la certification. Édouard Camoin, VP Resilience chez 3DS OUTSCALE et expert ENISA, résume ces évolutions et l’articulation de cette 3.2 avec l’EUCS et le label « Cloud de Confiance ».
https://www.lemagit.fr/conseil/SecNumCloud-32-les-principales-evolutions-du-referentiel
Source : LeMagIT

FAILLES & MENACES

Intel présente son arme fatale contre les deepfakes

Avec cette technologie baptisée FakeCatcher, Intel est en mesure d’identifier en quelques millisecondes les vidéos truquées, avec une précision de 96 %.
https://www.clubic.com/pro/entreprises/intel/actualite-446610-intel-presente-son-arme-fatale-contre-les-deepfake.html
Source : Clubic.com

Coinbase, MetaMask, Crypto.com : comment les pirates contournent l'authentification multifacteur pour vous voler

Des experts en cybersécurité ont identifié une campagne de phishing ciblant certains des exchanges de cryptomonnaies les plus populaires tels que Coinbase , Kucoin , Crypto.com , ainsi que le wallet MetaMask .
https://www.clubic.com/auteur/447342-coinbase-metamask-crypto-com-comment-les-pirates-contournent-l-authentification-multifacteur-pour-vous-voler.html
Source : Clubic.com

Docker Hub cache plus de 1 650 conteneurs malveillants

Plus de 1 600 images Docker Hub visibles depuis Internet intègrent des composants pouvant être exploités via des backdoors pour du piratage DNS et de la redirection web malveillante.
https://www.lemondeinformatique.fr/actualites/lire-docker-hub-cache-plus-de-1-650-conteneurs-malveillants-88720.html
Source : Le Monde Informatique

PIRATAGES

Dropbox victime d'un piratage par phishing

Service de stockage cloud, Dropbox révèle avoir été la cible d'une campagne de phishing grâce à laquelle des attaquants ont pu avoir accès à une partie de son code. En l'occurrence, via quelque 130 dépôts de code sur GitHub.
https://www.generation-nt.com/actualites/dropbox-piratage-phishing-github-2030327
Source : GNT - actualités

Pourquoi l’Australie est noyée sous les cyberattaques ?

Cette cyberattaque de grande ampleur arrive un mois seulement après une autre opération qui avait déjà secoué le pays. En septembre, la deuxième entreprise de télécommunications d’Australie, Optus, a également été la cible d’une extorsion, après que les données personnelles d’environ 10 millions de clients ont été volées. Cette fois, les pirates ont revendiqué leur opération sur un célèbre forum de hackers, demandant 1 million de dollars au groupe pour ne pas publier les fichiers. Quelques semaines plus tard, les malfaiteurs ont — mystérieusement — retiré leur annonce, déclarant que « c’était une erreur de s’attaquer à des données publiques ».
https://www.numerama.com/cyberguerre/1177954-pourquoi-laustralie-est-noyee-sous-les-cyberattaques.html
Source : Numerama

1300 victimes, 100 millions de dollars, l’impressionnant butin des hackers de Hive

La liste des victimes comprend un large éventail d’entreprises issues de nombreux secteurs jusqu’aux administrations gouvernementales ainsi que les hôpitaux. En France, le groupe a attaqué la marque de textile Damart ainsi que le groupe Altice, maison mère de SFR ainsi que de nombreux médias — BFM, RMC. De nombreux documents confidentiels sur les opérations du groupe de télécommunication avaient fuité.
https://www.numerama.com/cyberguerre/1185440-1300-victimes-100-millions-de-dollars-limpressionnant-butin-des-hackers-de-hive.html
Source : Numerama

Lockbit vs Bl00dy : quand les hackers se font la guerre entre eux

A l'instar des criminels "classiques", les groupes de cybercriminels bataillent pour s'élever au sommet. Vol de technologie, dooxing et DDoS, tout est bon pour gagner, sans règles à respecter.
https://www.journaldunet.com/solutions/dsi/1516161-lockbit-vs-bl00dy-quand-les-hackers-se-font-la-guerre-entre-eux/
Source : Journal du Net

IPTV : un pirate gagne plus de 2,6 millions d’euros, puis écope de 30 mois de prison

Un Anglais de 44 ans vient d'être condamné à 2 ans et demi de prison pour la vente de boîtiers IPTV qui permettaient de recevoir illégalement des chaînes de télévision payantes, comme Sky Sports et Sky Cinema.
https://www.01net.com/actualites/iptv-un-pirate-gagne-plus-de-26-millions-deuros-puis-ecope-de-30-mois-de-prison.html
Source : 01net

Etats-Unis Un célèbre hacker mis en examen

Le célèbre pirate Daniel Kaye est accusé d’avoir exploité activement un marché du Dark Web et d’avoir blanchi de l’argent. Il a accepté d’être extradé de Chypre vers les Etats-Unis.
https://www.linformaticien.com/magazine/cybersecurite/60217-etats-unis-un-celebre-hacker-mis-en-examen.html
Source : L'1FO Tech par L'Informaticien

Dark Web : comment cet étudiant a géré le plus gros marché noir d’Allemagne

Un jeune étudiant en Bavière a été identifié comme étant l’administrateur de DiDW, le plus grand marché noir d’Allemagne. Les vendeurs sur la plateforme commercialisaient principalement toutes sortes de drogues et des armes.
https://www.lebigdata.fr/etudiant-gere-gros-marche-noir-allemagne
Source : Le Big Data

L’équipementier Continental victime d’une cyberattaque

Sans réponse à sa demande de rançon, LockBit a publié sur le darknet, 55 millions de fichiers de l'équipementier automobile Continentalsur. Dont certains très sensibles…
https://www.linformaticien.com/magazine/cybersecurite/60296-l-equipementier-continental-victime-d-une-cyberattaque.html
Source : L'1FO Tech par L'Informaticien

Cet exchange a été piraté pour 28 millions de dollars - Que s'est-il passé ?

"Notre hot wallet a été piraté pour 28 millions de dollars plus tôt dans la soirée, juste avant minuit UTC le 1er novembre 2022", a précisé l'exchange.
https://fr.cryptonews.com/news/cet-exchange-a-ete-pirate-pour-28-millions-de-dollars-que-sest-il-passe.htm
Source : Cryptonews

Genshin Impact : hack et fuite de données, quel risque pour les joueurs ?

Le développeur de Genshin Impact, HoYoverse, est victime d'une fuite de données d'une envergure sans précédent. Suite à une cyberattaque, plus de 36 semaines de contenu à venir ont été dévoilées. Découvrez les causes et les conséquences de cet incident...
https://www.lebigdata.fr/genshin-impact-fuite-donnees
Source : Le Big Data

Royaume-Uni : le numéro de Liz Truss était vendu à moins de 8 € sur le web

On trouve des milliards d’informations privées sur internet, y compris celles des politiques. Le quotidien britannique Daily Mail plonge Liz Truss, l’ancienne Première ministre britannique – avec un mandat record de 45 jours – dans la polémique ce 29 octobre 2022 en dévoilant une affaire de cyberattaque menée par les Russes.
https://www.numerama.com/cyberguerre/1166750-le-numero-de-liz-truss-etait-vendu-a-moins-de-8-e-sur-le-web.html
Source : Numerama

277 attaques recensées en octobre 2022

Avec 255 cas de prises d’otages numériques connus pour le mois de septembre 2022, octobre voit une nouvelle progression des rançonnages avec 277 cyberattaques recensés par ZATAZ. Des piratages sous forme de prise d'otage de fichiers exfiltrés par les pirates, tous ne bloquant pas systématiquement les serveurs et les documents en question dans les machines des entreprises publiques/privées infiltrées.
https://www.zataz.com/277-attaques-recensees-en-octobre-2022/
Source : ZATAZ

Les pirates de Thalès diffusent des centaines de documents volés au géant high tech

Alors que LockBit avait menacé, début novembre le géant high tech Thalès, aucunes informations n'avaient fuité aprés la fin du compte à rebours malveillant.
https://www.zataz.com/les-pirates-de-thales-diffusent-des-centaines-de-documents-voles-au-geant-high-tech/
Source : ZATAZ

Piratage : 2,3 millions de numéros de téléphones de Français (avec IP) vendus

Dans l'échantillon que le Service Veille ZATAZ a pu constater, pas d'identité, d'url, de nom de mobile. Des informations personnelles que le pirate affirme pouvoir fournir après la vente. Il commercialise le document, un CSV, plusieurs centaines d'euros.
https://www.zataz.com/piratage-23-millions-de-numeros-de-telephones-de-francais-avec-ip-vendus/
Source : ZATAZ

Plus de 200 000 sites prêts à être piratés découverts dans le darkweb

Pour rappel, cette vulnérabilité permet, via quelques manipulations informatiques, d'accéder aux bases de données installées dans un site web, un serveur, etc.
https://www.zataz.com/plus-de-200-000-sites-prets-a-etre-pirates-decouverts-dans-le-darkweb/
Source : ZATAZ

Un fleuron de la reconnaissance et de la surveillance piraté

Bref, ils infiltrent, volent, classent et revendent leur silence. Ils sont pourchassés, depuis des mois. L'ICANN, par exemple, avait fait bloquer, en décembre 2021, des noms de domaines enregistrés par les pirates afin d'empêcher la diffusion de documents volés.
https://www.zataz.com/un-fleuron-de-la-reconnaissance-et-de-la-surveillance-pirate/
Source : ZATAZ

CONFIDENTIALITÉ & VIE PRIVÉE

Twitter : le chiffrement de bout en bout bientôt déployé aux messages privés

Musk est arrivé à la tête de Twitter il y a près d'un mois. Depuis, les changements au sein du réseau social sont radicaux sur de nombreux points. En plus de licencier plusieurs dirigeants, il a également remercié environ la moitié du personnel, entraînant la démission de nombreux cadres évoluant dans des secteurs clés comme la modération. La semaine dernière, Musk a également posé un ultimatum aux employés restants, entraînant des centaines de départs supplémentaires.
https://siecledigital.fr/2022/11/22/messagerie-twitter-chiffrement/
Source : Siècle Digital

Qui protège le mieux vos messages privés entre TikTok, Messenger, WhatsApp, Twitter et les autres ?

Depuis les révélations d’Edward Snowden sur les programmes de surveillance de masse des agences de renseignement américaines, en 2013, la question de la sécurité et de la confidentialité des échanges est devenue centrale. En l’espace de dix ans, d’ailleurs, de nombreuses plateformes se sont emparées du sujet pour annoncer des progrès dans la protection de la vie privée.
https://www.numerama.com/tech/1188062-qui-protege-le-mieux-vos-messages-prives.html
Source : Numerama

TikTok : vos données sont accessibles depuis la Chine

Dans le giron du groupe chinois ByteDance, le réseau social TikTok annonce une mise à jour de sa politique de confidentialité qui concerne l'Europe et finit par reconnaître que des données d'utilisateurs sont accessibles depuis la Chine.
https://www.generation-nt.com/actualites/tiktok-donnees-chine-acces-employes-2030356
Source : GNT - actualités

Discord respectait mal le RGPD, et l’app le paie avec une amende de 800 000 €

Cinq infractions au Règlement général sur la protection des données (RGPD). Tel est le bilan de la Commission nationale de l’informatique et des libertés (Cnil), à la suite d’une enquête sur Discord. En conséquence, l’institution vient de prononcer ce jeudi 17 novembre 2022 une amende administrative de 800 000 euros.
https://www.numerama.com/tech/1182118-discord-respectait-mal-le-rgpd-et-lapp-le-paie-avec-une-amende-de-800-000-e.html
Source : Numerama

L'UE Meta l'amende Facebook (265 millions d'euros)

Automobile : les constructeurs misent avant tout sur leur transformation numérique
https://www.zdnet.fr/actualites/l-ue-meta-l-amende-facebook-265-millions-d-euros-39950436.htm
Source : ZDNet

Les mutuelles dans le viseur de la CNIL pour la collecte des données de santé

La CNIL met le nez dans les affaires des mutuelles, à la suite de centaines de plaintes reçues. L’autorité compétente en matière de protection des données personnelles appelle à clarifier et sécuriser le cadre juridique pour l’utilisation de données de santé par les organismes d’assurance maladie complémentaire (OCAM) sans consentement, en dehors du cercle médical autorisé à y accéder.
https://www.zdnet.fr/actualites/les-mutuelles-dans-le-viseur-de-la-cnil-pour-la-collecte-des-donnees-de-sante-39949758.htm
Source : ZDNet

Applications mobiles : la CNIL présente son plan d’action pour protéger votre vie privée

Les applications mobiles sont un des principaux moyens d’accès à des contenus et des services numériques. La CNIL a établi un plan d’action pour les années à venir afin d’accompagner leur mise en conformité et de protéger la vie privée des utilisateurs.
https://www.cnil.fr/fr/applications-mobiles-la-cnil-presente-son-plan-daction-pour-proteger-votre-vie-privee
Source : CNIL

Vie privée : Twitter mis sous surveillance par l'Union européenne après son rachat

Le chaos semé par l’arrivée d’Elon Musk à la tête de Twitter inquiète les régulateurs européens, qui assurent surveiller la situation « de très près ».
https://www.clubic.com/internet/twitter/actualite-446304-vie-privee-twitter-mis-sous-surveillance-par-l-union-europeenne-apres-son-rachat.html
Source : Clubic.com

Android : le tracking dans les applis, c'est fini, voilà la solution de DuckDuckGo

DuckDuckGo pour Android se dote d'une nouvelle fonction de blocage des traqueurs dans les applications tierces.
https://www.clubic.com/os-mobile/android/actualite-446469-android-le-tracking-dans-les-applis-c-est-fini-voila-la-solution-de-duckduckgo.html
Source : Clubic.com

Apple : non, vos données ne sont pas toutes anonymisées comme promis sur iPhone

« Aucune des informations collectées ne permet de vous identifier personnellement ». Telle est la promesse faite par Apple aux utilisateurs d’ iPhone . Mais dans les faits, cette promesse est-elle vraiment tenue ?
https://www.clubic.com/pro/entreprises/apple/actualite-447381-apple-non-vos-donnees-ne-sont-pas-toutes-anonymisees-comme-promis-sur-iphone.html
Source : Clubic.com

LOGICIELS

Qu'est-ce que le protocole TLS et à quoi sert-il ?

Dans le domaine du chiffrement des données, le protocole TLS est aujourd'hui l'une des solutions les plus répandues. Elle garantit la protection des flux réseau. Présentation du protocole TLS.
https://www.toolinux.com/%3Fprotocole-tls-definition-usage-versions
Source : TOOLinux

Blockchain et cybersécurité : cette technologie est-elle réellement fiable ?

Dans ce vaste monde numérique où la cybersécurité est au cœur des préoccupations, la blockchain apparaît comme l’une des technologies les plus fiables. Cette architecture décentralisée est-elle réellement sécurisée pour le stockage et la transmission des données ?
https://www.lebigdata.fr/cybersecurite-blockchain
Source : Le Big Data

Cybersécurité : 6 outils de pentest open source

De commix à XSStrike, voici sur six outils qui permettent de mettre en œuvre autant de types d'injections.
https://www.silicon.fr/cybersecurite-6-outils-pentest-open-source-451866.html
Source : Silicon

Cybersécurité : 8 outils open source pour évaluer sa surface d’attaque

D'Amass à Wappalyzer, focus sur quelques outils de bug bounty mobilisables pour évaluer une surface d'attaque.
https://www.silicon.fr/cybersecurite-8-outils-open-source-evaluer-surface-attaque-451539.html
Source : Silicon

EMPLOI & FORMATION

Cybersécurité : des métiers « très attractifs » pour initiés ?

La connaissance du secteur et des métiers de la cybersécurité est inégale selon le cursus de formation. La France peut mieux faire estime l'ANSSI.
https://www.silicon.fr/cybersecurite-metiers-attractifs-inities-452655.html
Source : Silicon

Cybersécurité : 5 conseils pour vous aider à développer votre carrière

Les professionnels talentueux dans la cybersécurité sont très demandés. Le nombre d’emplois disponibles dans le domaine a augmenté de 350 % entre 2013 et 2021, passant de 1 million à 3,5 millions, selon une étude de Secureworks.
https://www.zdnet.fr/pratique/cybersecurite-5-conseils-pour-vous-aider-a-developper-votre-carriere-39949960.htm
Source : ZDNet

TUTOS

Comment chiffrer les e-mails dans Thunderbird (et pourquoi vous devriez le faire)

Voici comment protéger vos communications sensibles contre les tiers.
https://www.zdnet.fr/pratique/comment-chiffrer-les-e-mails-dans-thunderbird-et-pourquoi-vous-devriez-le-faire-39949232.htm
Source : ZDNet


Cédric Goby / UMR AGAP pour la Direction de la Sécurité des Systèmes d'Information INRAE (Institut national de la recherche pour l’agriculture, l’alimentation et l’environnement)
Cette lettre est publiée sous la licence Attribution 4.0 International (CC BY 4.0)


Découvrez les autres revues de presse !
Revue de presse "Open source" : https://groupes.renater.fr/sympa/info/open-source
Revue de presse "fablab" : https://groupes.renater.fr/sympa/info/fablab