Cette revue de presse généraliste et mensuelle a pour but de sensibiliser le public aux problématiques de la sécurité informatique. Vous devez vous inscrire si vous souhaitez recevoir la lettre. Pour l'inscription (ou la désinscription) et la consultation des archives : https://groupes.renater.fr/sympa/arc/securite-informatique Vous pouvez également retrouver toutes les lettres sur GitLab : https://gitlab.com/CedricGoby/newsletter-securite-informatique
La migration vers Windows 10 n’a pas été réalisée par une entreprise sur trois. Un fait inquiétant alors que l’arrêt du support de Windows 7 s’approche. https://www.silicon.fr/windows-10-un-tiers-du-parc-entreprise-na-pas-encore-migre-257127.html Source : Silicon
Le projet OpenCTI (Open Cyber Threat Intelligence), développé par l’ANSSI en partenariat avec le CERT-EU, est un outil de gestion et de partage de la connaissance en matière d’analyse de la cybermenace (Threat Intelligence). https://www.ssi.gouv.fr/actualite/opencti-la-solution-libre-pour-traiter-et-partager-la-connaissance-de-la-cybermenace/ Source : ANSSI
Aujourd'hui, les gouvernements peuvent agir en toute impunité, sans qu'aucune réglementation n'ait été mise en place. https://siecledigital.fr/2019/06/24/lonu-veut-un-moratoire-pour-la-vente-des-logiciels-despionnage/ Source : Siècle Digital
Le Dark Web est la partie cachée du web, sur laquelle s’organise un vaste trafic de biens et services illégaux. Découvrez tout ce que vous devez savoir à ce sujet, ainsi que le lien entre Dark Web et Big Data… https://www.lebigdata.fr/dark-web-big-data Source : Le Big data
Les employés d'une centrale nucléaire ukrainienne ont été surpris après avoir utilisé les capacités de calcul et les ressources électriques du site pour miner de la cryptomonnaie. De quoi faire frémir. https://www.zdnet.fr/actualites/ukraine-ils-connectent-une-centrale-nucleaire-a-internet-pour-miner-de-la-cryptomonnaie-39889423.htm Source : ZDNet
Une faille dans certaines cartes SIM permet de prendre le contrôle d’un téléphone portable par l’envoi d’un simple SMS « caché ». Baptisée « Simjacker », cette attaque utilisée activement sur le terrain, sans doute par des agences gouvernementales, pourrait potentiellement toucher un milliard d'abonnés. https://www.01net.com/actualites/ces-sms-invisibles-pourraient-geolocaliser-plus-d-un-milliard-de-mobiles-1766383.html Source : 01Net
Se connecter sur un point d’accès Wi-Fi inconnu présente des risques, même si l’on surfe sur des sites sécurisés en HTTPS. La situation se complique encore davantage si un pirate le contrôle. Explications et démonstration en vidéo. https://www.01net.com/actualites/pourquoi-il-ne-faut-jamais-faire-confiance-aux-hotspots-wi-fi-1729150.html Source : 01Net
Beaucoup de fournisseurs de ces trackers s’appuient, en réalité, sur une seule et même plate-forme technique, basée en Chine et criblée de failles de sécurité. https://www.01net.com/actualites/des-centaines-de-milliers-de-trackers-gps-peuvent-etre-pirates-a-distance-et-tout-dire-de-vos-vies-1762531.html Source : 01Net
Les hackers peuvent attaquer votre réseau en vous faisant livrer un petit dispositif malveillant par courrier
Des chercheurs en sécurité chez IBM X-Force Red font savoir qu’il s’agit là d’un moyen novateur et efficace pour un pirate de prendre pied sur le réseau d'une cible. Ces derniers ont d’ailleurs mis en lumière le mécanisme de fonctionnement de cette technique de piratage en créant un dispositif pas plus gros que la paume de la main, qui pourrait être dissimulé à l’intérieur d’un ours en peluche et envoyé à la cible par courrier. https://securite.developpez.com/actu/273161/Les-hackers-peuvent-attaquer-votre-reseau-en-vous-faisant-livrer-un-petit-dispositif-malveillant-par-courrier-cette-technique-a-ete-nommee-Warshipping/ Source : Développez
Une faille spectaculaire dans un des caches des processeurs Intel Xeon permet de voler des informations sensibles. Un risque qui touche aussi bien les entreprises au travers de leurs datacenters que les utilisateurs de plates-formes cloud. https://www.01net.com/actualites/une-enorme-faille-dans-les-puces-intel-xeon-permet-d-espionner-des-ordinateurs-a-distance-1766163.html Source : 01Net
Les pilotes et firmwares des souris informatiques et de leur adaptateur USB intègrent des vulnérabilités qui ne sont en général jamais patchées par les entreprises… https://www.itforbusiness.fr/la-souris-ce-vecteur-de-cybermenaces-sous-estime-21369 Source : IT For Business
Des pirates informatiques ont voulu montrer les failles de ces machines très présentes aux États-Unis et en plein développement en France. https://www.capital.fr/economie-politique/etats-unis-des-hackers-transforment-des-machines-a-voter-en-jukebox-1347642 Source : Capital
Dans un communiqué de presse, le CNRS explique que l’un de ses chercheurs a découvert une faille de sécurité dans le système de vote en ligne du parlement à Moscou. https://www.lebigdata.fr/cnrs-vote-ligne Source : Le Big Data
Les entreprises de toutes tailles doivent relever un certain nombre de défis pour assurer la sécurité de leurs réseaux. Pourtant, les vulnérabilités liées aux MFP et imprimantes connectées d’aujourd’hui sont souvent sous-estimées. Voici comment protéger votre réseau en 5 points. https://www.datasecuritybreach.fr/comment-proteger-son-reseau-et-ses-imprimantes-professionnelles-en-5-etapes/ Source : Data Security Breach
Il a envoyé des milliers de courriels à des internautes français, leur faisant croire qu’il avait piraté leur ordinateur et disposait d’images intimes. https://www.lemonde.fr/pixels/article/2019/09/13/sextorsion-un-francais-arrete-apres-une-vaste-tentative-de-chantage-par-e-mail_5509981_4408996.html Source : Pixels
C’est un exploit particulièrement rare que vient de réussir les gendarmes du Centre de lutte contre la criminalité numérique (C3N). En effet, les autorités du pays ont réussi à détourner puis a neutraliser un gigantesque réseau de bots malveillants, contrôlés par le logiciel Retadup. Ce réseau contrôlait 850 000 ordinateurs infectés. https://siecledigital.fr/2019/09/02/france-gendarmerie-850000-virus-retedup/ Source : Siècle Digital
Les équipes de Google Project Zero ont découvert en février dernier une vulnérabilité majeure touchant les iPhones. Il a été possible de les infecter depuis un site web pendant 2 ans et demi. Suite à la publication de cette faille, d'autres révélations sont apparues, pointant du doigt une opération d'espionnage de la part du gouvernement chinois envers la minorité ethnique ouïghour, actuellement sous le coup de la répression de Pékin. https://www.usine-digitale.fr/article/les-piratages-d-iphone-auraient-cible-en-realite-la-minorite-ouighour-en-chine.N879465 Source : Usine Digitale
27,8 millions de données touchées par une faille de sécurité chez un spécialiste du contrôle d'accès biométrique
Des chercheurs révèlent qu'une base de données mal sécurisée de l'entreprise Suprema a laissé un accès libre à 27,8 millions de données issues de système de contrôle d'accès physique au sein d'une multitude de clients. Elles comportaient notamment des empreintes digitales et des données de reconnaissance faciale. https://www.usine-digitale.fr/article/27-8-millions-de-donnees-touchees-par-une-faille-de-securite-chez-un-specialiste-du-controle-d-acces-biometrique.N875315 Source : Usine Digitale
L'opération Soft Cell a vu des opérateurs télécoms à travers le monde perdre plus de 100 Go de données d'enregistrement d'appels, mais cela aurait pu être bien pire : les attaquants auraient pu couper les réseaux cellulaires s'ils l'avaient voulu. Le groupe d'attaquants a opéré depuis 2012, sur un mode « low and slow », attendant parfois des mois entre les actions. https://www.lemondeinformatique.fr/actualites/lire-une-cyberattaque-massive-a-cible-des-operateurs-telecoms-pendant-7-ans-75747.html Source : LMI
« Nous aurions pu le faire s’écraser! ». Des hackers démontrent à l’US Air Force les faiblesses de ses F-15 en piratant un avion de chasse. https://www.zataz.com/piratage-avion-chasse-f-15-us-air-force/ Source : Zataz
Un Britannique a effectué un virement demandé par son supérieur au téléphone. Il s’agissait en fait d’une arnaque, rendue possible par une technologie permettant d’imiter les voix. https://www.lemonde.fr/pixels/article/2019/09/06/deepfake-dupee-par-une-voix-synthetique-une-entreprise-se-fait-derober-220-000-euros_5507365_4408996.html Source : Pixels
Pour vérifier l'« identité numérique » de chaque internaute, le décret du 13 mai a instauré l'Authentification en ligne certifiée sur mobile (Alicem) qui fait appel à la reconnaissance faciale. Un recours vient d'être déposé auprès du Conseil d'État par ses détracteurs. https://www.01net.com/actualites/comment-le-gouvernement-veut-imposer-la-reconnaissance-faciale-sur-mobile-pour-vous-identifier-1736498.html Source : 01Net
Après avoir recommandé à ses fonctionnaires de ne plus utiliser les versions en ligne et mobile de la suite Office, l’agence néerlandaise de protection des données enquête sur Windows 10. https://www.lebigdata.fr/windows-10-gdpr-pays-bas Source : Le Big Data
Pour contourner les droits d’accès, les développeurs de certaines applications imaginent des astuces parfois assez originales, comme l’extraction des données EXIF des photos pour la géolocalisation. https://www.01net.com/actualites/comment-des-centaines-d-applis-android-exfiltrent-vos-donnees-personnelles-de-facon-illicite-1728557.html Source : 01Net
Comprendre ce qu'est une donnée permet de mieux cerner les enjeux contemporains qui l'entourent. Toutes les données ne sont pas protégées de la même façon car leurs utilisations ne revêtent pas les mêmes risques. C'est l'émergence, en 2004, de la notion de "donnée à caractère personnel" qui a construit un cadre réglementaire autour de ce concept. https://www.usine-digitale.fr/article/decryptage-qu-est-ce-qu-une-donnee-personnelle.N884154 Source : Usine Digitale
Dans un récent billet de blog, le réseau social Twitter a admis avoir trouvé deux problèmes dans les choix de paramètres publicitaires des utilisateurs, ce qui signifie qu’ils n’ont peut-être pas fonctionné comme prévu. Autrement dit, cela signifie que le réseau social a partagé les données d’utilisateurs avec des partenaires publicitaires même lorsqu’un tweetos avait expressément demandé de ne pas le faire. https://siecledigital.fr/2019/08/18/twitter-admet-avoir-partage-nos-donnees-avec-des-tiers/ Source : Siècle Digital
Quels sont les risques que vous encourez en cas de fuite de vos données personnelles ? Découvrez tout ce que les hackers peuvent faire avec vos différentes informations. https://www.lebigdata.fr/fuite-de-donnees-que-font-hackers Source : Le Big data
Plusieurs Etats ont lancé des investigations antitrust contre des géants du web avec dans le viseur leurs pratiques commerciales, mais aussi la collecte et l’exploitation des données personnelles. https://www.zdnet.fr/actualites/etats-unis-les-enquetes-se-multiplient-contre-facebook-et-google-39890245.htm Source : ZDNet
Google condamné à payer 170 millions de dollars pour non-respect de la vie privée des enfants sur YouTube
Google va devoir payer 170 millions de dollars pour la collecte et l'utilisation, supposément illégales, de données sur les mineurs via sa filiale YouTube. Si elle est approuvée par la justice américaine, il s'agira d'une sanction record dans le domaine de la vie privée des enfants qui demandera à la plate-forme de réviser sa politique à ce sujet. https://www.usine-digitale.fr/article/google-condamne-a-payer-170-millions-de-dollars-pour-non-respect-de-la-vie-privee-des-enfants-sur-youtube.N879490 Source : Usine Digitale
Date d’ovulation, état d’humeur, dernier rapport sexuel… Sur Android, certaines applications de gestion de la menstruation transmettent des informations particulièrement sensibles à des entreprises tierces, sans que l’on sache vraiment pourquoi. https://www.01net.com/actualites/les-applis-de-suivi-de-regles-envoient-des-donnees-trop-personnelles-a-facebook-1764816.html Source : 01Net
Les sites web dédiés à la santé mentale, et plus particulièrement les » tests de dépression « , collectent allègrement les données personnelles de leurs visiteurs à des fins de ciblage publicitaire. C’est ce que révèle un rapport publié par Privacy International à l’issue d’une étude de grande envergure. https://www.lebigdata.fr/test-depression-donnees Source : Le Big data
La société Eco Compteur vient de lancer une expérimentation visant à analyser la fréquentation de la ville de Lannion, en Bretagne. Cette expérience permettra de suivre les smartphones des promeneurs afin de déterminer les lieux les plus fréquentés, et savoir ce qu’il faut améliorer. https://siecledigital.fr/2019/06/26/la-ville-de-lannion-va-suivre-ses-habitants-grace-a-leurs-smartphones/ Source : Siècle Digital
Selon Bloomberg, Facebook a engagé des sous-traitants pour écouter les conversations sur son application Messenger afin d’améliorer son IA. Après Amazon, Microsoft, Google et Apple, Facebook est le dernier GAFAM à se faire prendre en flagrant délit… https://www.lebigdata.fr/gafam-ecoute-conversations Source : Le Big Data
Il y a une semaine environ, nous apprenions que Microsoft confiait à des humains des extraits audio de conversations de Skype et Cortana afin d’améliorer les services de l’entreprise. Microsoft avait réagi en expliquant obtenir l’autorisation des utilisateurs. À présent, la société a clairement mis à jour sa politique de confidentialité et écrit explicitement que des humains peuvent écouter les enregistrements. https://siecledigital.fr/2019/08/15/microsoft-tiers-ecoute-audio/ Source : Siècle Digital
Ils ne disparaissent que si les utilisateurs décident de les supprimer manuellement, au travers du site Web d’Amazon. https://www.01net.com/actualites/vie-privee-amazon-conserve-vos-echanges-vocaux-avec-alexa-indefiniment-1725858.html Source : 01Net
Les données » anonymisées » ne sont en réalité pas du tout anonymes et il est très facile de ré-identifier leurs propriétaires. C’est ce que révèle une étude inquiétante menée par des chercheurs belges et britanniques… https://www.lebigdata.fr/donnees-anonymisees-etude Source : Le Big Data
Mémoires d’Edward Snowden : dans le sillage du 11-Septembre, un recul durable du contrôle démocratique sur le renseignement
Après les attentats à New York, l’Amérique et ses alliés occidentaux ont mis en place, en totale autonomie et sans aucun droit de regard extérieur, un vaste système de surveillance pour éviter d’être de nouveau pris au dépourvu. https://www.lemonde.fr/idees/article/2019/09/13/dans-le-sillage-du-11-septembre-un-recul-durable-du-controle-democratique-sur-le-renseignement_5509784_3232.html Source : Pixels
Le mois dernier Firefox a annoncé avoir appliqué par défaut son programme anti-pistage intitulé « Tracking Protection » qui vise à bloquer certains éléments indésirables sur les sites visités avec le navigateur. https://korben.info/firefox-bloque-le-pistage-reseaux-sociaux.html Source : Korben
Firefox chiffrera les requêtes de noms de domaine Web par défaut rendant vos habitudes en ligne plus privées et sécurisées
Mozilla continue dans son processus de renforcement de la vie privée des utilisateurs sur son navigateur Firefox. Une nouvelle composante de la vie privée en ligne que le développeur de navigateur Internet veut commencer à ajouter à la fin de ce mois après deux ans de travail, c’est le protocole DNS-over-HTTPS (DoH). https://web.developpez.com/actu/276599/Firefox-chiffrera-les-requetes-de-noms-de-domaine-Web-par-defaut-rendant-vos-habitudes-en-ligne-plus-privees-et-securisees-en-activant-le-DNS-over-HTTPS-a-partir-de-fin-septembre-a-annonce-Mozilla/ Source : Développez
Le hacker a utilisé des listes d’identifiants Telnet pour se connecter sur des appareils mal sécurisés. Face à l’ampleur que prenaient les choses, il a finalement cessé son opération. https://www.01net.com/actualites/un-adolescent-a-cree-un-malware-qui-a-detruit-des-milliers-d-objets-connectes-1721716.html Source : 01Net
Sur le Dark Web, les cybercriminels s’intéressent de plus en plus aux pompes à essence connectées. C’est ce que révèle un rapport publié par les chercheurs de Trend Micro. https://www.objetconnecte.com/dark-web-hackers-pompes-essence-connectees/ Source : Objet Connecté
La sécurité et la confidentialité sont deux des principaux obstacles à l’adoption de l’IoT par les entreprises. Ce sont les deux sujets sur lesquels les entreprises ont le plus de questions, et il ne fait aucun doute que les préoccupations sont justifiées. https://www.silicon.fr/avis-expert/liot-en-2019-sommes-nous-les-clients-ou-les-produits Source : Silicon
Au moins neuf Français sur dix estiment que leurs données personnelles doivent être mieux protégées, selon une étude Dolmen, Opinionway. Avec tout ce que nous semons en utilisant notre téléphone, notre ordinateur au quotidien, faisons-nous vraiment attention ? Est-ce que nous faisons tout pour protéger nos données ? https://www.franceinter.fr/emissions/le-debat-de-midi/le-debat-de-midi-12-aout-2019 Source : France Inter
Si le phénomène de pénurie en compétences informatiques n’est pas nouveau, c’est dans le domaine de la cybersécurité que le manque de professionnels qualifiés se fait le plus ressentir : à l’échelle européenne, il est estimé qu’il manquera 350 000 experts en cybersécurité d’ici 2022. D’ailleurs, seulement 1 200 des 6 000 postes ouverts en 2017 en France ont été pourvus. https://www.silicon.fr/avis-expert/cybersecurite-sortir-de-limpasse-de-la-penurie-des-talents Source : Silicon
« Chacune des dix images par défaut les plus populaires de Docker contient au moins 30 bibliothèques système vulnérables ». https://www.silicon.fr/avis-expert/conteneurs-logiciels-les-bonnes-pratiques-de-securite Source : Silicon
Cédric Goby - Institut National de la Recherche Agronomique - UMR AGAP
Cette lettre est publiée sous la licence Attribution 4.0 International (CC BY 4.0)
Découvrez les autres revues de presse ! Revue de presse "Open source" : https://groupes.renater.fr/sympa/info/open-source Revue de presse "fablab" : https://groupes.renater.fr/sympa/info/fablab