vendredi 31 juillet 2015

La faille Android qui permet d’infecter un téléphone avec un simple MMS

On dit souvent que le plus gros facteur de risque pour choper un virus se situe entre le clavier et la chaise. En effet, aller sur des sites obscurs, télécharger des trucs chelous, ouvrir des pièces jointes en toute confiance... Non, je le sais, VOUS NE FAITES PAS ÇA !! Et c'est bien ! Pourtant > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : La faille Android qui permet d’infecter un téléphone avec un simple MMS ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.



via Korben http://bit.ly/1IwrBjw

United Airlines Hacked by Same Chinese Group Behind The OPM Breach

By Waqas

From cars to trains from computers to planes, anything connected with

This is a post from HackRead.com Read the original post: United Airlines Hacked by Same Chinese Group Behind The OPM Breach



via HackRead http://bit.ly/1Smu3j5

Security Sense: If You Program It, They Will Break It: How Connecting Things Can Make Them Worse

We seem to be connecting everything these days, but is it improving them or could it actually be compromising their very function? read more

via Security Bloggers Network http://bit.ly/1Icd9tg

Doing Terrible Things To Your Code

In 1992, I thought I was the best programmer in the world. In my defense, I had just graduated from college, this was pre-Internet, and I lived in Boulder, Colorado working in small business jobs where I was lucky to even hear about other programmers much less meet them.

I



via Coding Horror http://bit.ly/1DUv5XA

mardi 28 juillet 2015

The First 24 Hours In The Wake Of A Data Breach

There is a direct correlation between how quickly an organization can identify and contain a data breach and the financial consequences that may result.

via Dark Reading: http://ubm.io/1KuQWg7

La Zero Day Initiative révèle 4 failles dans Internet Explorer



via Actualités securite http://bit.ly/1KuQWg4

dimanche 26 juillet 2015

Tres interessante analyse de la cour de cassation.... "Un email constitue une commande ferme" #droit #lk http://bit.ly/1KrdgnW


from Twitter https://twitter.com/SPoint

July 26, 2015 at 09:34AM
via IFTTT

vendredi 24 juillet 2015

Oh no!!!! On a hacke ma voiture !! http://bit.ly/1CUhAfI #appsec #appsecfr #lk #security #hack #connectedcars


from Twitter https://twitter.com/SPoint

July 24, 2015 at 03:19PM
via IFTTT

Internet Explorer : ne l'utilisez pas, il contient quatre failles non patchées

Microsoft n'ayant pas réagi après le délai de 120 jours, la Zero Day Initiative vient de publier quatre failles de sécurité dans Internet Explorer qui ne sont toujours pas corrigées. Il est conseillé de laisser IE de côté jusqu'au patch.










via 01net. Actualités http://bit.ly/1IivDHM

Two-Factor Authentication (2FA) using OpenOTP

This guide is for security-aware individuals who wish to learn the theory behind user- based two-factor (or multifactor) authentication systems, also known as “2FA”. Here we will discuss how 2FA systems work, and how to implement 2FA into a small, virtualized environment for testing purposes. By implementing 2FA, the hope is to enhance the cyber toolkit for administrators who wish to help mitigate the effects of user password theft by cyber intrusion. By following the steps outlined here, the reader should be able to comfortably configure a user account already existing in a Microsoft® Active Directory® (AD) environment to use the Google Authenticator application on his/her smartphone to authenticate with AD username and password+token for remote VPN access.

via SANS Information Security Reading Room http://bit.ly/1LApOfF

La nouvelle délibération Cnil sur la géolocalisation des salariés

Face à l’évolution des pratiques en matière de géolocalisation des véhicules utilisés par les salariés, la Cnil a adopté une nouvelle délibération n°2015-165 du 4 juin 2015 (1). Cette norme vient compléter la norme du 16 mars 2006 relatives aux conditions permettant de bénéficier du régime de la déclaration simplifiée. Les …

via Lexing Alain Bensoussan http://bit.ly/1LApOfC

jeudi 23 juillet 2015

mercredi 22 juillet 2015

Google, the Wassenaar Arrangement, and vulnerability research



via Google Online Security Blog http://bit.ly/1TPqrU9

Akamai met en garde contre une résurgence des attaques DDoS par réflexion au moyen d'un protocole de routage révolu

Akamai Technologies, Inc. publie ce jour, via PLXsert (Prolexic Security Engineering & Research Team), une nouvelle alerte de cybersécurité. La menace concerne l'utilisation croissante d'un protocole de routage révolu, RIPv1 (Routing Information Protocol), pour des attaques par réflexion et par amplification. Qu'est-ce que RIPv1 ? RIPv1 est un moyen rapide et facile de partager de manière dynamique des informations de routage sur un petit réseau multi-routeur. Une requête type est envoyée par (...) - Malwares

via Global Security Mag Online http://bit.ly/1KkeYre

Mobile App Security: 4 Critical Issues

Securing the mobile workforce in the age of BYOD is no easy task. You can begin with these four measures.

via Dark Reading: http://ubm.io/1MHzrGv

Hacking Team Detection Tools Released By Rook, Facebook

Organizations get help keeping up with Hacking Team threats, and Microsoft releases an out-of-band patch for a new Hacking Team 0-day.

via Dark Reading: http://ubm.io/1MHzrqf

Cloud security controls series: Multi-factor Authentication

Recently I wrote an article on the risk of leaked credentials in which I discussed how credentials are stolen in bulk directly from organizations’ websites. As illustrated in Figure 1, during the eight months between November 2013 and June 2014, Microsoft tracked about 1,700 distinct website credential thefts, comprising a little more than 2.3 million credentials that were posted in public places on the Internet. This number represents only a … Read more »

via Cyber Trust Blog » Cybersecurity http://bit.ly/1CPfbTC

Les entreprises loin de maîtriser les risques des données cloud



via Actualités securite http://bit.ly/1JwRkF4

Microsoft corrige en urgence une faille Windows zeroday



via Actualités securite http://bit.ly/1DtJXMt

jeudi 16 juillet 2015

Adobe Flash Vulnerability CVE-2015-5119 analysis

With the leak of Hacking Team's data, the security industry came to learn about multiple new 0day vulnerabilities targeting Flash, Internet Explorer, Android, etc. As always, exploit kit authors were quick to incorporate these 0day exploits into their arsenal. In this blog, we will be looking at the CVE-2015-5119 exploit payload that we have now seen in the wild. The sample has multiple

via Zscaler Research http://bit.ly/1KbaPIQ

L'école EPITA et Check Point Software Technologies s'associent pour la formation en sécurité informatique des étudiants

« Les récentes attaques informatiques, comme celle dont a été victime TV5, illustrent la nécessité de comprendre et de maitriser toutes les solutions permettant de protéger le cœur de l'activité de nos entreprises. À l'EPITA, les majeures Sécurité et Télécoms proposent déjà des formations très poussées dans ces domaines et une approche globale des enjeux. Nous souhaitons les renforcer dans la maîtrise des produits proposés par les principaux fournisseurs », explique Joël Courtois, directeur général de l'EPITA. (...) - Formations des Instituts privés

via Global Security Mag Online http://bit.ly/1J39q5D

Oracle patche 193 vulnérabilités dont 25 pour Java



via Actualités securite http://bit.ly/1fN8oQ2

The Darkode Cybercrime Forum, Up Close

By now, many of you loyal KrebsOnSecurity readers have seen stories in the mainstream press about the coordinated global law enforcement takedown of Darkode[dot]me, an English-language cybercrime forum that served as a breeding ground for botnets, malware and just about every other form of virtual badness. This post is an attempt to distill several years' worth of lurking on this forum into a narrative that hopefully sheds light on the individuals apprehended in this sting and the cybercrime forum scene in general.

via Krebs on Security http://bit.ly/1Kb51yV

Mozilla Winter of Security is back!

Last year, we introduced the Mozilla Winter of Security (MWoS) to invite students to work on security projects with members of Mozilla’s security teams. Ten projects were proposed, and dozens of teams applied. A winter later, MWoS 2014 gave birth … Continue reading

via Mozilla Security Blog http://mzl.la/1JkVpMq

mercredi 15 juillet 2015

Usurpation d’identité : défense et protection des entreprises

Alain Bensoussan expose, pour MyD-Business TV, les voies de recours à disposition des entreprises victimes d’atteintes à leur identité ou leur réputation, pour ensuite préciser les outils d’alerte et de surveillance à mettre en oeuvre en interne. L’usurpation d’identité se conjugue très souvent avec les problématiques d’e-réputation. Elle relève d’un texte particulier du Code …

via Lexing Alain Bensoussan http://bit.ly/1CG2t9p

samedi 11 juillet 2015

Appel à des API ouvertes pour la sécurité du Cloud

CipherCloud et la Cloud Security Alliance ont créé un groupe de travail chargé de guider l’industrie dans la création d’interfaces ouvertes visant à rendre le Cloud plus sûr.

via LeMagIT: ContentSyndication RSS Feed http://bit.ly/1HlIiwf

En Bref …

Goodbye SSL, écrit en Français par Stéphane Borzmeyer . Sorte d’oraison funèbre en mémoire d’un protocole frappé de mort clinique il y a plus de 5 ans, et dont le fantôme persiste à hanter bon nombre de serveurs.

via CNIS mag http://bit.ly/1NVvfDk

Des pirates exploitent un ancien protocole de routage pour amplifier les attaques DDoS



via http://bit.ly/1UMPk4d

Journée sur l’Internet des Objets et la Cybersécurité – Compte Rendu

Dans le cadre de l’action CNRS Objets intelligents sécurisés et Internet des Objets a eu lieu le 17 juin dernier au CNAM la Journée sur l’Internet des Objets et la Cybersécurité. Une centaine de spectateurs est venue assister aux sept interventions de cette journée. Bien que celle-ci a été organisée par des acteurs de la recherche, […]

via OCTO talks ! http://bit.ly/1fwjcSw

Encryption Isn’t a Silver Bullet

Last week’s encryption gold standard post has a nice reference model for encryption, but it neglects to explain that encryption isn’t the be-all, end-all solution for data protection. If you’re not careful, encryption can be a recipe for serious data loss issues, not to mention big payouts to vendors and huge project/engineering costs.   So be smart. Look at things […]

via Security Architects, LLC http://bit.ly/1GdARDj

Breach notice law in the Netherlands takes effect on 1 January 2016

Today the Royal Decree setting the date of entry into force of the Bill on Notification of data leaks was published. The law will take effect on 1 January 2016 and introduces an obligation on data controllers in the Netherlands to notify the Dutch Data Protection Authority (College Bescherming Persoonsgegevens) and affected individuals and significantly increases … Continue reading

via Data Protection Report http://bit.ly/1RpAe5j

Don’t Blame Bad Software on Developers – Blame it on their Managers



via Building Real Software http://bit.ly/1D7kOXH

mardi 7 juillet 2015

La firme d'espionnage Hacking Team piratée : 400 Go de données livrées sur le Net

L'entreprise italienne spécialisée dans les outils de surveillance a été hackée. De nombreuse données ont été diffusées en ligne et son compte Twitter piraté.










via 01net. Actualités http://bit.ly/1RhFwjt

Contrat de Cloud computing : les conseils d’un expert (2/2)

Jean-François Forgeron évoque pour Owentis les bonnes pratiques relatives au cloud computing à mettre en oeuvre dans le cadre de la négociation et la rédaction des contrats. Cette seconde partie s’inscrit dans le prolongement de précédents échanges ayant fait l’objet d’une première publication sur notre site. L’avocat revient sur le dispositif européen de réglementation, …

via Lexing Alain Bensoussan http://bit.ly/1IGgftE

L’avis du G29 sur le projet de règlement européen

Le 15 juin 2015, le G29 a rendu un avis sur le projet de règlement proposé par la Commission européenne en janvier 2012 sur la protection des données à caractère personnel (1). Les enjeux sont importants, il s’agit d’un part, d’encadrer l’utilisation croissante des données par les entreprises sans freiner le …

via Lexing Alain Bensoussan http://bit.ly/1CjrrLp

100% des entreprises touchées au moins une fois par des cyberattaques



via Actualités securite http://bit.ly/1dJ8ohW

Dropbox : Du stockage gratuit en plus avec la double authentification



via Actualités securite http://bit.ly/1IGgd51

samedi 4 juillet 2015

Introducing s2n, a New Open Source TLS Implementation

At Amazon Web Services, strong encryption is one of our standard features, and an integral aspect of that is the TLS (previously called SSL) encryption protocol. TLS is used with every AWS API and is also available directly to customers of many AWS services including Elastic Load Balancing (ELB), AWS Elastic Beanstalk, Amazon CloudFront, Amazon S3, Amazon RDS, and Amazon SES.

The last 18 months or so has been an eventful time for the TLS protocol. Impressive cryptography analysis highlighted flaws in several TLS algorithms that are more serious than previously thought, and security research revealed issues in several software implementations of TLS. Overall, these developments are positive and improve security, but for many they have also led to time-consuming operational events, such as software upgrades and certificate rotations.

Part of the challenge is that the TLS protocol, including all of its optional extensions, has become very complex. OpenSSL, the de facto reference implementation, contains more than 500,000 lines of code with at least 70,000 of those involved in processing TLS. Naturally with each line of code there is a risk of error, but this large size also presents challenges for code audits, security reviews, performance, and efficiency.

In order to simplify our TLS implementation and as part of our support for strong encryption for everyone, we are pleased to announce availability of a new Open Source implementation of the TLS protocol: s2n.  s2n is a library that has been designed to be small, fast, with simplicity as a priority. s2n avoids implementing rarely used options and extensions, and today is just more than 6,000 lines of code. As a result of this, we’ve found that it is easier to review s2n; we have already completed three external security evaluations and penetration tests on s2n, a practice we will be continuing.

Over the coming months, we will begin integrating s2n into several AWS services. TLS is a standardized protocol and s2n already implements the functionality that we use, so this won’t require any changes in your own applications and everything will remain interoperable.

If you are interested in using or contributing to s2n, the source code, documentation, commits and enhancements are all publically available under the terms of the Apache Software License 2.0 from the s2n GitHub repository.

s2n isn’t intended as a replacement for OpenSSL, which we remain committed to supporting through our involvement in the Linux Foundation’s Core Infrastructure Initiative. OpenSSL provides two main libraries: “libssl”, which implements TLS, and “libcrypto,” which is a general-purpose cryptography library. Think of s2n as an analogue of “libssl,” but not “libcrypto.”

Oh and the name? s2n is short for “signal to noise” and is a nod to the almost magical act of encryption—disguising meaningful signals, like your critical data, as seemingly random noise.  

- Steve



via AWS Security Blog http://amzn.to/1GWoWdF

Top 10 Lists for Designing and Writing Secure and Safe Software



via Building Real Software http://bit.ly/1TbBG8X

jeudi 2 juillet 2015

Contrat de Cloud computing : les conseils d’un expert (1/2)

Jean-François Forgeron, sollicité par Owentis, apporte son expertise en matière de négociation et de rédaction de contrats informatiques, en particulier de cloud computing. Dans cette première partie, il distingue les relations BtoC qui sont encadrées par les dispositions légales et réglementaires relatives à la protection du consommateur vis-à-vis des grands fournisseurs de …

via Lexing Alain Bensoussan http://bit.ly/1JzqbXe
//Activation syntaxhilight