Did you know that @SonarSource cover vulnerability in #JAVA,#COBOL, #ABAP and more…See #owasp #appsec http://bit.ly/1CBNwTA #lk #cwe

Did you know that @SonarSource cover vulnerability in #JAVA,#COBOL, #ABAP and more…See #owasp #appsec http://bit.ly/1CBNwTA #lk #blog #cwe

— Sebastien Gioria (@SPoint) March 30, 2015

from Twitter http://bit.ly/1m3TwNH



March 30, 2015 at 10:20AM

via IFTTT

Sécurité : la maturité tarde à venir

via LeMagIT http://bit.ly/1DiZ9AO

Un pare-feu de nouvelle génération pour protéger les Scada

Gateprotect vient de présenter une nouvelle solution de protection pour les systèmes informatisés de contrôle industriel.



via LeMagIT: ContentSyndication RSS Feed http://bit.ly/19yygLu

Target versera 10 M$ aux victimes de son intrusion

L’enseigne a accepté de dédommager ainsi ses clients dont les données personnelles et de cartes bancaires ont été dérobées dans son système d’information fin 2013.



via LeMagIT: ContentSyndication RSS Feed http://bit.ly/1bI4e9A

Gartner : la sécurité centrée sur l’utilisateur, ça marche !

Gartner estime que les entreprises courageuses, avec la bonne culture de la sécurité, et l'implication requise de leurs dirigeants, retirent des bénéfices d’une approche de la sécurité centrée sur les utilisateurs.



via LeMagIT: ContentSyndication RSS Feed http://bit.ly/1bI4e9z

Bonnes pratiques en matière d'archivage des données : stratégies, planification et produits

Le stockage primaire peut se révéler onéreux et offre une capacité limitée. Les bonnes pratiques suivantes vous aideront à sélectionner les données à transférer dans une archive.



via LeMagIT: ContentSyndication RSS Feed http://bit.ly/19yyeTU

Bonnes pratiques d'authentification à deux facteurs

Intimidantes à première vue, les solutions d'authentification à deux facteurs (2FA) sont à la portée de presque toutes les entreprises. Voici comment les prendre en main.



via LeMagIT: ContentSyndication RSS Feed http://bit.ly/19lNHGR

SQL Server : 8 bonnes pratiques de sécurité

Voici quelques bonnes pratiques fondamentales de sécurité pour SQL Server que tout le monde doit connaître... mais que nous sommes nombreux à oublier.



via LeMagIT: ContentSyndication RSS Feed http://bit.ly/1Nwxkq0

MDM ou MAM ? Que choisir pour sécuriser sa flotte mobile

Si la gestion des appareils mobiles (MDM) et celle des applications mobiles (MAM) sont deux pans différents de l'EMM (Enterprise Mobility Management), des fonctionnalités se recoupent. Il reste important de connaître leurs différences.



via LeMagIT: ContentSyndication RSS Feed http://bit.ly/1Nwxk9L

Emploi : La cybersécurité manque de bras !

Les grandes attaques informatiques de 2014, notamment celle de Sony Pictures, ont dopé la demande pour les spécialistes de la cybersécurité. Oui mais voilà, il n'y en a pas assez sur le marché. Certes, des formations existent, à tous les niveaux d'études, mais leurs effectifs de diplômés ne suffisent pas aujourd'hui à répondre à la demande.



via LeMagIT: ContentSyndication RSS Feed http://bit.ly/1bI4dmj

1-15 March 2015 Cyber Attacks Timeline

Spring is at the door, and finally the endless winter is coming to an end. I am just wondering if the crooks are starting to enjoy the first rays of sun, given the relatively low level of attacks in the first half of March. Effectively, for the first time since several months, no massive breaches […]



via Hackmageddon.com http://bit.ly/1GFFuuz

Projet de loi sur le renseignement : les 5 points qui inquiètent

Siphonage direct des réseaux, surveillance automatisée, conservation des données à géométrie variable... De nombreuses dispositions de ce «Patriot Act» à la française pointent vers une surveillance de masse.

















via 01net. Les actualites Entreprise http://bit.ly/1GFFtXm

Akamai publie son Rapport « Etat des lieux de l'Internet » du 4ème trimestre 2014

Akamai Technologies, Inc. publie son Rapport « Etat des lieux d'internet » du 4ème trimestre 2014. Établi à partir des données recueillies par l'Akamai Intelligent Platform™, ce rapport permet de mieux comprendre les principales statistiques mondiales, notamment les vitesses de connexion et adoption du haut débit sur les réseaux fixes et mobiles, le trafic global des attaques, préparation des réseaux au format 4K, épuisement des adresses IPv4 et mise en œuvre d'IPv6. Le rapport analyse aussi plusieurs (...) - Investigations



via Global Security Mag Online http://bit.ly/1GDMS9Q

SSL MiTM attack in AFNetworking 2.5.1 - Do NOT use it in production!

via Minded Security Blog http://bit.ly/1F009r2

Most Companies Expect To Be Hacked In The Next 12 Months

Security spending increases, while confidence in stopping cyber attacks decreases, new report shows.



via Dark Reading: http://ubm.io/1NbmnKl

The End of Pen Testing As We Know It?

It's time to expand the scope of penetration tests beyond the periphery of the enterprise network.



via Dark Reading: http://ubm.io/1bwpE9N

The 7 Best Social Engineering Attacks Ever

Seven reminders of why technology alone isn't enough to keep you secure.



via Dark Reading: http://ubm.io/1bwpG1a

Publication du guide « Comprendre et anticiper les attaques DDoS »

Les attaques par déni de service distribué (Distributed Denial of Service ou DDoS) visent à rendre un ou plusieurs services informatiques indisponible(s). Souvent efficaces contre des cibles non préparées, elles sont aujourd’hui fréquentes. La relative simplicité de leur mise en œuvre, notamment à l’aide d’outils et de services disponibles en ligne, en fait une méthode […]



via Agence nationale de la sécurité des systèmes d'information http://bit.ly/1bwpDTe

Web Application Firewalls

For years, attackers have assailed networks and exploited system level vulnerabilities, fueling demand for products like firewalls and intrusion detection systems.



via SANS Information Security Reading Room http://bit.ly/1EWKd97

Finding Evil in the Whitelist

Traditional security controls, such as antivirus and intrusion detection systems, can be generally classified as blacklisting technologies.



via SANS Information Security Reading Room http://bit.ly/1GqG5Qy

Minimizing Damage From J.P. Morgan's Data Breach

How did a mega bank like J.P. Morgan get hacked? It all started in June 2014 when one of their employee's personal computer was infected with malware which resulted in stolen login credential (Sjouwerman, 2014).



via SANS Information Security Reading Room http://bit.ly/1D0ENfF

"Clickjacking: Help, I Was Framed!"

Security researchers discovered and disclosed the Clickjacking attack (also known as a "UI Redress Attack") back in 2008. All major browsers were affected. Flash even had an interesting vulnerability that allowed control of a user's microphone and webcam. Yet, here we are 7 years later still citing this issue on nearly every security assessment of web applications that we do. During our report delivery, development teams typically have one of the following responses: "What's Clickjacking?", "What can someone really do with this?", or "So what?".I'd like to take a minute to explain a little bit about this exploit, give a quick example, and talk about a few ways to mitigate this issue.The ExploitClickjacking involves hosting a form from the application in an iframe and tricking the user into activating the form. A common way to do this is to set the opacity of the iframe to 0 (rendering it invisible) and placing a link over a button on the ...



via AppSec Street Fighter - SANS Institute http://bit.ly/1CGVlsR

"Google App Engine Java security sandbox bypasses" http://bit.ly/1CkKvag #appsec #appsecfr #owasp #lk

"Google App Engine Java security sandbox bypasses" http://bit.ly/1CkKvag #appsec #appsecfr #owasp #blog #lk

— Sebastien Gioria (@SPoint) March 16, 2015

from Twitter http://bit.ly/1m3TwNH



March 16, 2015 at 08:35AM

via IFTTT

This API is so Fetching!

For more than a decade the Web has used XMLHttpRequest (XHR) to achieve asynchronous requests in JavaScript. While very useful, XHR is not a very nice API. It suffers from lack of separation of concerns. The input, output and state are all managed by interacting with one object, and state is tracked using events. Also, […]



via Mozilla Hacks - the Web developer blog http://mzl.la/1FqT30m

Putting Security into Sprints

via Building Real Software http://bit.ly/1ClNlgV

Introducing Masche: memory scanning for server security

Mozilla operates thousands of servers to build products and run services for our users. Keeping these servers secure is the primary concern of the Operations Security team, and the reason why we have built Mozilla InvestiGator (MIG), a cross-platform endpoint … Continue reading



via Mozilla Security Blog http://mzl.la/1Fd0F5W

Un chercheur en sécurité publie un outil pour pirater les comptes Facebook

via Actualités securite http://bit.ly/1AhiiMJ

March 2015 Updates

Today, as part of Update Tuesday, we released 14 security bulletins to address vulnerabilities in Microsoft Windows, Microsoft Office, Microsoft Exchange, and Internet Explorer.

We encourage customers to apply all of these updates. For more information about this month’s security updates, including the detailed view of the Exploitability Index (XI) broken down by each Common Vulnerabilities and Exposures (CVE), visit the Microsoft Bulletin Summary webpage. If you are not familiar with how we calculate the XI, a full description can be found here.

We released one new Security Advisory:

• Availability of SHA-2 code signing support for Windows 7 and Windows Server 2008 R2 (3033929)

Two Security Advisories were revised:

• Update for Vulnerabilities in Adobe Flash Player in Internet Explorer (2755801)


• Vulnerability in Schannel Could Allow Security Feature Bypass (3046015)

For the latest information, you can follow the Microsoft Security Response Center (MSRC) team on Twitter at @MSFTSecResponse.

MSRC Team

via Microsoft Security Response Center http://bit.ly/1wXf7hx

OpenSSL To Undergo Major Audit

The Linux Foundation's Core Infrastructure Initiative funding work to take a closer look at the TLS stack.



via Dark Reading: http://ubm.io/1Ah4nW3

Les objets connectés créent un nouveau risque de fuite de données

Les objets connectés personnels tels que les montres et les bracelets concernent les entreprises, soulevant des questions de sécurité liées aux données échangées.

















via 01net. Les actualites Entreprise http://bit.ly/1Ah3vRm

Security Advisory 3046015 released

Today, we released Security Advisory 3046015 to provide guidance to customers in response to the SSL/TLS issue referred to by researchers as “FREAK” (Factoring attack on RSA-EXPORT Keys).

Our investigation continues and we’ll take the necessary steps to protect our customers.

MSRC Team

via Microsoft Security Response Center http://bit.ly/1AZ7YrO

"Developer Security Awareness: How To Measure"

In the previous post (What Topics To Cover), we laid the foundation for your developer security awareness-training program. Now let's talk about the metrics we can collect to help improve our program.It's all about the metricsAs we previously mentioned, establishing a common baseline for the entire development team would be helpful. A comprehensive application security assessment should be performed before awareness training begins. For example, the SANS Software Security team has a free web based security assessment knowledge check: http://bit.ly/1AZ84j6. A knowledge check such as this allows you to create a baseline, establish core strengths and weaknesses, and steer the types ...



via AppSec Street Fighter - SANS Institute http://bit.ly/1KOZij0

A 'Building Code' For Internet of Things Security, Privacy

In the fast emerging IoT, medical device safety is reaching a critical juncture. Here are three challenges Infosec professionals should begin to think about now.



via Dark Reading: http://ubm.io/1ATxDCk

Apple Pay, nouvel eldorado des escrocs

via Actualités securite http://bit.ly/1A94hkj

Google veut faire d'Android l'OS de la réalité virtuelle

D'après le Wall Street Journal, une équipe d'ingénieurs est en train de concevoir une version spécifique d'Android en mesure de faire tourner des applis de réalité virtuelle.

















via 01net. Actualités http://bit.ly/1A94hkg

Facebook a corrigé 61 failles critiques en 2014 grâce au programme bug bounty

via Actualités securite http://bit.ly/1zUrSUS

99% des responsables IT français inquiets de la sécurité des objets connectés

via Actualités securite http://bit.ly/1wLJE1M

"Generate Mozilla Security Recommended Web Server Configuration Files" #appsec #appsecfr #lk http://bit.ly/1MbS6ZD

"Generate Mozilla Security Recommended Web Server Configuration Files" #appsec #appsecfr #lk #blog http://bit.ly/1MbS6ZD

— Sebastien Gioria (@SPoint) March 6, 2015

from Twitter http://bit.ly/1m3TwNH



March 06, 2015 at 03:00PM

via IFTTT

Apple Pay à l'origine d'une fraude massive aux Etats-Unis

Des cybercriminels ont réalisé de faux achats via Apple Pay en utilisant des données bancaires volées. La faille se situe au niveau des banques, dont les vérifications d'identité sont trop sommaires.

















via 01net. Les actualites Entreprise http://bit.ly/1EuDdRn

Adoption par Microsoft de la norme ISO 27018 pour son cloud

A l’heure où le cloud computing (ou informatique en nuage) représente un environnement incontournable, l’objectif majeur des prestataires de service de cloud est de veiller à la protection des données personnelles de leurs utilisateurs afin d’assurer l’attractivité et la fiabilité de leurs solutions. A cet égard, il convient de rappeler que le G29 (1) avait […]



via Lexing Alain Bensoussan Avocats http://bit.ly/1Kxnw0V

Revoking Intermediate Certificates: Introducing OneCRL

Users of Firefox from Firefox 37 will be protected by a new feature called OneCRL. This is a new mechanism we have introduced to push lists of revoked intermediate certificates to the browser. Using OCSP for certificate revocation doesn’t serve … Continue reading



via Mozilla Security Blog http://mzl.la/1zZI73X

Usage personnel de l'internet : licenciement sur le fondement du règlement intérieur

La cour d'appel d'Aix-en-Provence a validé le licenciement pour faute grave d'une salariée qui passait une heure par jour sur internet pour son usage personnel, en application du règlement intérieur et de la charte informatique de l'entreprise, dans un arrêt du 13 janvier 2015. Le règlement intérieur prévoit que le matériel, les logiciels et la connexion internet mis à la disposition du personnel doivent être utilisés « conformément à leur objet et aux besoins de la fonction » et la charte d'utilisation (...) salarié, internet, abus, réglement intérieur, usage personnel, licenciement pour faute grave, charte informatique



via Legalis.net http://bit.ly/18I6VqH

la base de données des conducteurs #uber a été hackée http://bit.ly/1AqGVW7 #appsec #appsecfr #databreach #lk via @techcrunch

la base de données des conducteurs #uber a été hackée http://bit.ly/1AqGVW7 #appsec #appsecfr #databreach #blog #lk via @techcrunch

— Sebastien Gioria (@SPoint) March 1, 2015

from Twitter http://bit.ly/1m3TwNH



March 01, 2015 at 11:04AM

via IFTTT

Un état du marché des objets connectés

Le marché des objets connectés est en pleine révolution, les mentalités ont eu du mal à prendre mais aujourd’hui, les français sont de plus en plus familiarisés avec ces nouveaux outils. Prisés par...

See it on Scoop.it, via Connected Things

via Connected Things | Scoop.it http://bit.ly/1aFPYxy