Cette revue de presse généraliste et mensuelle a pour but de sensibiliser le public aux problématiques de la sécurité informatique.
N'hésitez pas à la diffuser dans vos réseaux !
Vous devez vous inscrire si vous souhaitez recevoir la lettre. Pour l'inscription (ou la désinscription) et la consultation des archives : https://groupes.renater.fr/sympa/arc/securite-informatique
Votre adresse email n'est utilisée que pour l'envoi de cette lettre, elle ne sera jamais communiquée à des tiers.
Vous pouvez également retrouver toutes les lettres sur GitLab : https://gitlab.com/CedricGoby/newsletter-securite-informatique
Enquête OneLogin : Constat en matière de cybersécurité sur les Français vis-à-vis de leurs voisins européens
OneLogin annonce les résultats d’une enquête mondiale qui examine les conséquences en matière de sécurité de la généralisation du télétravail en raison de la pandémie du Covid-19. L’enquête, réalisée par le cabinet d’études OnePoll en avril 2020 auprès de 1000 professionnels en télétravail respectivement en Allemagne, en France, au Royaume Uni, en Irlande et aux Etats Unis.
http://www.globalsecuritymag.fr/Enquete-OneLogin-Constat-en,20200515,98653.html
Source : Global Security Mag Online
L’ANSSI revient sur le mode opératoire de Silence, groupe cybercriminel qui cible des banques, y compris en Europe.
https://www.silicon.fr/cybercrime-anssi-silence-339492.html
Source : Silicon
Microsoft apporte aux Insiders une préversion du protocole controversé DNS-over-HTTPS sur Windows 10, dont l'objectif est de mieux protéger la vie privée des utilisateurs
Ces dernières années, le respect de la vie privée et la sécurité des données sont devenus des enjeux majeurs. Ce, tant pour résister à des attaques de pirates que pour contrer un espionnage dont les États ne se cachent pas.
https://windows.developpez.com/actu/303198/Microsoft-apporte-aux-Insiders-une-preversion-du-protocole-controverse-DNS-over-HTTPS-sur-Windows-10-dont-l-objectif-est-de-mieux-proteger-la-vie-privee-des-utilisateurs/
Source : Developpez
Le Sénat US adopte une mesure qui permet au FBI de collecter sans mandat l'historique de navigation des Américains dans une mise à jour du Patriot Act de 2001
Le PATRIOT Act est une loi antiterroriste qui a été votée par le Congrès des États-Unis en 2001. Elle vise à unir et renforcer l'Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme. Le but est d'effacer la distinction juridique entre les enquêtes effectuées par les services de renseignement extérieur et les agences fédérales responsables des enquêtes criminelles (FBI).
https://droit.developpez.com/actu/303135/Le-Senat-US-adopte-une-mesure-qui-permet-au-FBI-de-collecter-sans-mandat-l-historique-de-navigation-des-Americains-dans-une-mise-a-jour-du-Patriot-Act-de-2001/
Source : Developpez
Selon Check Point Software, 27 % des entreprises dans le monde ont subi des attaques sur leurs appareils mobiles, ce qui montre une nette tendance à la hausse des attaques de 6e génération.
http://www.globalsecuritymag.fr/Logiciels-publicitaires-mobiles-l,20200520,98819.html
Source : Global Security Mag Online
Lors de missions de conseil et d’audit, on constate très souvent que la sécurisation d’une des fondations de tout système d’information est négligée : la fourniture d’un temps fiable.
https://www.toolinux.com/?Du-protocole-NTP-au-NTS-la-securite-du-temps-informatique
Source : TOOLinux
Selon des chercheurs d’une université néerlandaise, tous les PC construits avant 2019 qui intègrent une prise Thunderbolt souffrent d’une faille matérielle impossible à corriger. Elle les met à la merci de quiconque peut accéder à la machine.
https://www.01net.com/actualites/thunderspy-le-hack-qui-met-a-mal-la-prise-thunderbolt-1911933.html
Source : 01net
Une faille de sécurité permettait de dérober les données des utilisateurs de Microsoft Teams. Les chercheurs de CyberArk sont parvenus à créer un GIF maléfique capable de compromettre un compte juste en étant visionné…
https://www.lebigdata.fr/microsoft-teams-gif-donnees
Source : Le Big Data
De mauvaises configurations de bases de données Firebase donnent un accès libre aux informations personnelles stockées par plus de 4 200 applications. Mais ce ne serait que la partie émergée de l’iceberg.
https://www.01net.com/actualites/des-milliers-d-applis-android-laissent-fuiter-des-donnees-d-utilisateurs-1913216.html
Source : 01net
En exploitant une faille dans la résolution récursive des noms de domaine, il était possible de créer des attaques par déni de service distribué avec un énorme facteur d’amplification, pouvant aller jusqu’à 1620.
https://www.01net.com/actualites/cette-faille-dans-les-serveurs-dns-aurait-pu-mettre-le-web-a-genoux-1918812.html
Source : 01net
Elexon, une société cruciale dans la chaîne d’approvisionnement en électricité au Royaume-Uni, a été la cible d’une cyberattaque qui empêche ses employés de consulter leur boîte mail professionnelle. Si la distribution d’électricité ne semble pas affectée, les acteurs du secteur de l’énergie s’inquiètent du fait que les hackers puissent un jour en prendre le contrôle.
https://www.usine-digitale.fr/article/elexon-maillon-crucial-du-reseau-electrique-au-royaume-uni-victime-d-une-cyberattaque.N964926
Source : L'Usine Digitale
Les pirates ont visé des datacenters dans plusieurs pays européens, dont l’Allemagne, le Suisse et l’Ecosse. Ils ont déployé toute une architecture malveillante à travers les systèmes infectés.
https://www.01net.com/actualites/des-supercalculateurs-ont-ete-pirates-pour-miner-de-la-cryptomonnaie-1915977.html
Source : 01net
Une base Elasticsearch contenant les logs techniques des sites web du journal exposait les données personnelles de dizaines de milliers d’abonnés. Même les mots de passe pouvaient être récupérés.
https://www.01net.com/actualites/le-figaro-a-laisse-trainer-8to-de-donnees-en-acces-libre-sur-internet-1904719.html
Source : 01net
Des malfaiteurs ont tenté de profiter de la crise sanitaire et économique pour piéger des particuliers. Leur faux site gouvernemental prétendait donner accès à une mesure d'aide financière. À la place, les victimes se sont fait voler de l'argent et leurs données personnelles.
https://cyberguerre.numerama.com/5065-phishing-des-cybercriminels-ont-fait-miroiter-une-fausse-aide-financiere-du-gouvernement-francais.html
Source : Numerama
Les malfaiteurs réclament 42 millions de dollars de rançon et menacent de divulguer les documents subtilisés au cabinet new-yorkais, qui compte parmi ses clients Lady Gaga, LeBron James ou encore Facebook.
https://www.lemonde.fr/pixels/article/2020/05/15/le-celebre-cabinet-d-avocats-grubman-shire-meiselas-amp-sacks-victime-de-pirates-informatiques_6039812_4408996.html
Source : Pixels
La compagnie aérienne britannique dit avoir pris les mesures nécessaires et prévenu les clients concernés. Parmi eux, 2 208 ont vu leurs numéros de carte bancaire saisis par les pirates.
https://www.lemonde.fr/pixels/article/2020/05/19/easyjet-victime-d-une-cyberattaque-les-donnees-de-millions-de-clients-derobees_6040142_4408996.html
Source : Pixels
Une version remaniée du cheval de Troie AnarchyGrabber se répand actuellement sur la plateforme de discussion Discord. Avec à la clé de gros ennuis comme le vol d'identifiants et mot de passe, la désactivation de l'authentification à double facteur ou encore la contamination par des logiciels malveillants.
https://www.lemondeinformatique.fr/actualites/lire-le-trojan-anarchygrabber-seme-le-bazar-sur-discord-79226.html
Source : Le Monde Informatique
Des universitaires disent avoir découvert 26 nouvelles vulnérabilités dans la pile de clés USB utilisée par les systèmes d'exploitation tels que Linux, macOs, Windows et FreeBSD. L'équipe de recherche, composée de Hui Peng de l'Université de Purdue et de Mathias Payer de l'Ecole polytechnique fédérale de Lausanne, a déclaré que tous les bugs ont été découverts grâce à un nouvel outil qu'ils ont créé, appelé USBFuzz.
https://www.zdnet.fr/actualites/des-chercheurs-decouvrent-26-bugs-usb-dans-linux-windows-macos-et-freebsd-39904295.htm
Source : ZDNet
Plus de 100 millions de lignes de données, qui contiennent près de 23 millions d’adresses email. En février, HaveIBeenPwned, le site de référence des fuites de données, a récupéré un immense jeu de données, confié par un autre site, spécialisé dans la recherche de fuite.
https://cyberguerre.numerama.com/5090-db8151dd-personne-ne-sait-dou-vient-cette-mysterieuse-fuite-de-plusieurs-millions-de-donnees.html
Source : Numerama
Plusieurs procédures RGPD touchent à leur fin en Irlande, où de nombreux poids lourds de la Silicon Valley ont implanté leur siège européen.
https://www.silicon.fr/deux-ans-rgpd-gafa-340254.html
Source : Silicon
En traçant les utilisateurs Android sans leur consentement, Google encourt 5 milliards d'euros d'amende
Le système d'identifiant d'Android permettrait à Google de collecter et vendre les données de ses utilisateurs à leur insu. Les avocats européens de noyb.eu assignent le géant américain en justice.
https://www.01net.com/actualites/en-tracant-les-utilisateurs-android-sans-leur-consentement-google-encourt-5-milliards-d-euros-d-amende-1913643.html
Source : 01net
En 2019, TikTok avait récolté une amende pour l'illégalité de son manque de protection des données personnelles d'enfants. Un an plus tard, les problèmes ne sont toujours pas résolus, d'après des groupes de consommateurs américains.
https://cyberguerre.numerama.com/5050-tiktok-est-de-nouveau-epingle-sur-sa-mauvaise-protection-des-moins-de-13-ans.html
Source : Numerama
Cette nouvelle extension permettra d’utiliser des adresses e-mail aléatoires pour s’inscrire à des services en ligne. Ce qui permet de ne pas se retrouver sur des listes de spams avec sa véritable adresse.
https://www.01net.com/actualites/firefox-private-relay-comment-mozilla-veut-tuer-le-spam-dans-l-oeuf-1907452.html
Source : 01net
L’anonymisation rend impossible l’identification d’une personne à partir d’un jeu de données et permet, ainsi, de respecter sa vie privée. La CNIL fait le point sur les techniques utilisables et sur leurs enjeux.
https://www.cnil.fr/fr/lanonymisation-de-donnees-personnelles
Source : CNIL
Le Health Data Hub représente une menace pour la confidentialité des Français, selon Edward Snowden. En stockant les données sur le Cloud de Microsoft, le gouvernement y ouvre l’accès au gouvernement américain…
https://www.lebigdata.fr/health-data-hub-edward-snowden
Source : Le Big Data
La CNIL s’est prononcée le 25 mai 2020 sur un projet de décret relatif à « StopCovid », une application mobile mise à disposition des utilisateurs d’ordiphones (smartphones) par le Gouvernement afin de les alerter d’un risque de contamination au virus.
https://www.cnil.fr/fr/la-cnil-rend-son-avis-sur-les-conditions-de-mise-en-oeuvre-de-lapplication-stopcovid
Source : CNIL
Suite à une diatribe de ma part à l’encontre de la mauvaise qualité de beaucoup de tutoriels consacrés à GnuPG, on m’a suggéré de créer le mien. Alors, without further ado, le voici.
https://linuxfr.org/news/bien-demarrer-avec-gnupg
Source : LinuxFr
Que pouvons-nous faire face aux attaques qui visent nos ordinateurs, nos microprocesseurs, nos objets connectés...? Guillaume Poupard, directeur de l’Anssi, se demande si nous "sommes condamnés à une lutte inégale entre le glaive et le bouclier", dans le cadre du séminaire de Gérard Berry.
https://www.franceculture.fr/emissions/les-cours-du-college-de-france/ou-va-linformatique-58-les-enjeux-de-securite-numerique
Source : Les cours du Collège de France
Cédric Goby / UMR AGAP pour la Direction de la Sécurité des Systèmes d'Information INRAE (Institut national de la recherche pour l’agriculture, l’alimentation et l’environnement)
Cette lettre est publiée sous la licence Attribution 4.0 International (CC BY 4.0)
Découvrez les autres revues de presse ! Revue de presse "Open source" : https://groupes.renater.fr/sympa/info/open-source Revue de presse "fablab" : https://groupes.renater.fr/sympa/info/fablab