Amazon, témoigne CNN s’engage à rembourser 70 millions de dollars aux parents dont les enfants auraient acheté sans compter des « apps » à leur insu. Une faille dans les processus d’authentification qui coûte cher

Moins de deux semaines après le lancement d’un Mooc de formation de premier niveau à la sécurité des S.I., l’Anssi annonce un dispositif « national » limité pour l’instant à la région Nord, et destiné à tous, Opérateurs d’Importance Vitale non compris.

Administrations, collectivités territoriales, établissements scolaires, associations de quartier, TPE et professions libérales, particuliers et ratons-laveurs, tout le monde est concerné. En bref, une plateforme d’urgence destinée au citoyen, presque 20 ans après celles fondées par le Gouvernement d’Allemagne Fédérale, 15 ans après les initiatives de Grande Bretagne, pour ne citer que les plus importantes.

Une plateforme Web est mise à disposition des victimes et des prestataires pouvant aider à combattre les fléaux numériques. C’est une initiative commerciale, puisque, précise le communiqué, il s’agit surtout de « la mise en relation des victimes via une plate-forme numérique avec des prestataires de proximité susceptibles de restaurer leurs systèmes ».

Dans un second temps, l’Anssi s’engagera dans une « campagne de prévention et de sensibilisation à la sécurité du numérique ». Une mission à qui l’on souhaite de réussir là où des décennies d’acharnement thérapeutique dans les secteurs de l’industrie se sont soldées par de cuisants échecs et de phénoménales pertes d’argent.

Enfin, la « création d’un observatoire du risque numérique permettant de l’anticiper ». Un observatoire qui observe donc, mais de véritable Cert grand public, point.

Comment, dans ce cas, espérer protéger une population avide de réseaux sociaux aux clauses de confidentialité élastiques, assoiffés de téléchargements sauvages, gourmands d’Internet des Objets lesquels sont aussi diserts sur la vie privée de leur propriétaire qu’un moinillon de San Millán de la Cogolla en charmante conversation avec Tomás de Torquemada ?

L’usager (nous tous, y compris et surtout les non-spécialistes) devra, semble-t-il, attendre encore longtemps avant de bénéficier d’un service d’information d’Etat accessible gratuitement sur simple abonnement, anonyme et impartial. Un service qui offrirait de véritables mesures de remédiation ou de mitigation des dangers après attaque, toutes plateformes confondues, tous profils d’utilisateurs compris.

On pourrait imaginer que toute formation ou sensibilisation, si formation il doit y avoir, relèverait plutôt de la responsabilité et de la compétence de l’Education Nationale. Une formation dégagée de tout financement provenant d’organismes privés (prestataires, compagnies d’assurance), assurée sur le long terme et non seulement à l’occasion d’une opération publicitaire … L’InfoSec gagnerait à commencer dès l’école primaire, car c’est souvent par les plus aventureux et les plus téméraires que le risque d’infection peut se déclarer … et c’est surtout par ces aventureux et téméraires que le message numérique et son jargon passent le mieux.

Shadow Brokers est ce groupe tristement connu pour avoir divulgué les informations techniques des fichiers de la NSA ayant permis la naissance du cryptovirus Wannacry. Un groupe qui ne semble pas en rester là puisqu’après avoir vidé leur compte en Bitcoin (source Mikko Hypponen, F-Secure) ils envisageraient la mise en vente d’un nouveau lot d’informations. La surmédiatisation de Wannacry ne peut que jouer en faveur d’une augmentation des mises à prix.

Seules les modalités de vente restent à définir. Les boutiquiers du binaire malsain cherchant à rentabiliser leur fond de commerce, les acheteurs ayant tendance quant à eux à exiger l’exclusivité de l’exploit. Mais quelques empêcheurs de pirater en rond (un binôme de chercheurs en sécurité) ont décidé de contrecarrer leurs plans et envisagé de se porter acquéreurs des exploits. Pour réunir les fonds, le tandem a imaginé une opération de financement participatif . Dans l’hypothèse où leur mise à prix serait retenue, le contenu des fichiers revendus seraient alors communiqués aux multiples participants, éditeurs de logiciels et responsables sécurité. Un crowdfunding de l’exploit, qui mettrait policiers et truands sur un même pied d’égalité, à partir du moment où tout le monde paye.

Le seul risque pour Shadow Brokers serait que la NSA désamorce cette bombe à retardement et informe les éditeurs respectifs des failles à combler. Mais cette probabilité est assez faible.

FreeRADIUS est vulnérable en raison d’un défaut affectant TTLS et PEAP, prévient Pavel Kankovsky. Une version 3.0.14 corrige cette instabilité

Heavy duty Judy : C’est, estiment les chercheurs de Checkpoint, la campagne d’infection Android la plus importante jamais recensée, avec 36 millions de victimes potentielles et 49 applications infectées par Judy, pourriciel publicitaire

27 juin 2017, RV à l’Intercontinental Paris Avenue Marceau

 Entreprise Numérique & Cybersécurité: 

Mode d’emploi,

Conseils & Solution

(Cloud, Mobilité, IoT/IIoT, Assurance, Conformité-GDPR)

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Des Experts Sécurité reconnus, Consultants, Avocats, Acteurs, Responsables sécurité/DSI guideront les entreprises dans leur démarche pour sécuriser un Système d’Information totalement ouvert : employés, partenaires et clients travaillent et échangent via le Cloud privé/public/hybride, évoluent dans un monde mobile en utilisant messagerie instantanée, réseaux sociaux ou encore des objets connectés. Pour les industriels, c’est l’IIoT (Scada) qu’il faut à tout prix sécuriser.

Comment protéger l’entreprise sans frontière ? Comment sécuriser les environnements qui utilisent les IoT & IIoT ? Avec quels outils ?  Quels services ? Quel contrat ? Quelle cyber-assurance? Comment être et rester conforme aux différents législations (mai 2018 et GDPR) ?

Une matinée d’Informations concrètes, de Sensibilisation et de Networking.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 av. Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, DSI, DPO, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les avocats et juristes de l’entreprise, les consultants et le personnel IT bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son Système d’Information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité 

Agenda

• • 8H00 – Accueil des participants : petit-déjeuner et Networking
  • 8H30 – Cloud, quelles menaces et vulnérabilités en 2017 avec le Clusif, par Martine Guignard, RSSI Imprimerie Nationale et membre du Clusif
  • 8H50 – Retour terrain d’un expert du domaine, par Vectra Networks Inc.
  • 9H10 –« La Minute Juridique », Maître Olivier Itéanu et Maître Garance Mathias répondront à toutes les questions d’ordre légal relatives au sujet de la conférence après un rappel des dernières législations en vigueur
  • 9H30 – Guide pas à pas et Conseils de mise en oeuvre de la Sécurité entreprise pour être conforme au GDPR par un Responsable CyberSécurité chez Wavestone,
  • 9H50 – De la détection à la remédiation : tout sur Wannacry et les dernières vulnérabilités, par Hervé Schauer, HSC Consulting, associé Deloitte
  • 10H10 –Protection contre les attaques avancées (ransomware, exploits, ATP), dernières technologies et automatisation du niveau de défense de fond, Michel Lanaspèze, Sophos
  • 10H30 – PAUSE Networking
  • 10H50 – Présentation d’une start-up française spécialisée dans le domaine des vulnérabilités au sein des environnements industriels, sécuriser les IIoT.
  • 11H10 – Quelle type de Cyberassurance en cas d’attaques et de pertes de données pour l’entreprise ? avec Dominique Le Chevallier, Directeur Technique Groupe, Verspieren
  • 11H30 – Panel sur« Entreprise Numérisée & Cybersécurité : mode d’emploi. Conseils & Solutions» avec 1) Maître François Coupez, avocat qui répondra aux questions d’ordre juridique, 2) Helmi Rais, Head of AlliaCERT, 3)  un RSSI pour le retour terrain et 4) Ely de Travieso, Responsable groupe cybersécurité pour la CGPME. Animé par Solange Belkhayat-Fuchs, Rédactrice en Chef CNIS Mag
  • 12H15 – PAUSE Networking au champagne, Tirage au sort (Tablette, IoT …) & Clôture de la conférence

27 juin 2017, RV à l’Intercontinental Paris Avenue Marceau

 Entreprise Numérique & Cybersécurité: 

Mode d’emploi,

Conseils & Solution

(Cloud, Mobilité, IoT/IIoT, Assurance, Conformité-GDPR)

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Des Experts Sécurité reconnus, Consultants, Avocats, Acteurs, Responsables sécurité/DSI guideront les entreprises dans leur démarche pour sécuriser un Système d’Information totalement ouvert : employés, partenaires et clients travaillent et échangent via le Cloud privé/public/hybride, évoluent dans un monde mobile en utilisant messagerie instantanée, réseaux sociaux ou encore des objets connectés. Pour les industriels, c’est l’IIoT (Scada) qu’il faut à tout prix sécuriser.

Comment protéger l’entreprise sans frontière ? Comment sécuriser les environnements qui utilisent les IoT & IIoT ? Avec quels outils ?  Quels services ? Quel contrat ? Quelle cyber-assurance? Comment être et rester conforme aux différents législations (mai 2018 et GDPR) ?

Une matinée d’Informations concrètes, de Sensibilisation et de Networking.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 av. Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, DSI, DPO, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les avocats et juristes de l’entreprise, les consultants et le personnel IT bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son Système d’Information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité 

Agenda

• 8H00 – Accueil des participants : petit-déjeuner et Networking
• 8H30 – Cloud, quelles menaces et vulnérabilités en 2017 avec le Clusif, par Martine Guignard, RSSI Imprimerie Nationale et membre du Clusif
• 8H50 – Retour terrain d’un expert du domaine, par Vectra Networks Inc.
• 9H10 – « La Minute Juridique », Maître Olivier Itéanu et Maître Garance Mathias répondront à toutes les questions d’ordre légal relatives au sujet de la conférence après un rappel des dernières législations en vigueur
• 9H30 – Guide et Conseils de mise en oeuvre de la Sécuritée entreprise pour être conforme au GDPR par un Responsable CyberSécurité chez Wavestone,
• 9H50 – Retour terrain d’un expert du domaine
• 10H10 – De la détection à la remédiation : tout sur Wannacry et les dernières vulnérabilités, par Hervé Schauer, HSC Consulting, associé Deloitte
• 10H30 – PAUSE Networking
• 10H50 – Présentation d’une start-up française spécialisée dans le domaine des vulnérabilités au sein des envionnements industriels, sécuriser les IIoT.
• 11H10 – Quelle Cyberassurance en cas d’attaques et de pertes de données pour l’entreprise ? avec des experts en assurance
• 11H30 – Panel sur « Entreprise Numérisée & Cybersécurité : mode d’emploi. Conseils & Solutions» avec 1) Maître François Coupez, avocat qui répondra aux questions d’ordre juridique, 2) Helmi Rais, Head of AlliaCERT, 3)  un RSSI pour le retour terrain et 4) Ely de Travieso, Responsable groupe cybersécurité pour la CGPME. Animé par Solange Belkhayat-Fuchs, Rédactrice en Chef CNIS Mag
• 12H15 – PAUSE Networking au champagne, Tirage au sort (Tablette, IoT …) & Clôture de la conférence

Les Universitaires informaticiens déconstruisent et reconstruisent régulièrement les lois de la physique. Un groupe de 5 chercheurs de l’Université du Michigan viennent de mettre au point une attaque par « injection de pression acoustique » visant les accéléromètres miniaturisés intégrés dans les montres Fitbit et semblables. Les conclusions sont dramatiques : écouter de la musique techno (sans danser) peut, dans 75 % des cas, fausser les informations de mouvement détectées par le capteur en question. Le monde du Fitness parle de guerre civile, les industriels de l’IoT condamnent ce qu’ils appellent une « véritable opération de lynchage orchestré par les publications scientifiques ».

L’attaque peut être plus vicieuse encore, car la lecture d’un fichier musical spécialement forgé peut, en impactant l’accéléromètre du smartphone, rendre totalement incontrôlable une voiture télécommandée ou un drone.

C’est probablement pour cette raison que l’on trouve une très faible proportion de personnes passionnées par le pilotage en réalité augmentée de véhicules radioguidés et également amoureuses des œuvres interprétées par l’ensemble des Percussions de Strasbourg (Miloslav Kabeláč et Yannis Xenakis provoquent de terribles embardées)

Oui, le son, phénomène essentiellement mécanique provoqué par les variations de pression de l’air, peut également servir à tromper des capteurs mécaniques « à déplacement » sensibles. Ce genre d’attaque est-il exploitable dans la vraie vie ? Sans doute, avec un peu d’imagination. Des accéléromètres critiques sont couramment utilisés en avionique, dans certains contrôles de processus industriels et de sécurité du personnel, dans le domaine militaire également. A prévoir dans un prochain épisode de Mr Robot ?

La hausse des budgets alloués à la sécurité informatique est sensible, estime le cabinet d’analyse Gartner, et devraient atteindre 7,6% de plus comparés à l’an passé. Le marché InfoSec mondial devrait donc atteindre 90 milliards de $ fin 2017, avec une croissance plus ou moins constante sur les trois années à venir puisque les ventes d’outils et logiciels sont estimées à 113 milliards de $ en 2020. Le secteur de la « détection/réponse à incident » est, explique l’étude, le domaine appelé à connaître la plus forte demande. L’accent sera donc un peu moins porté sur la prévention, un peu plus sur l’anticipation.

A nouvelle préoccupations, nouvelles offres, s’accompagnant de leur lot de sigles et termes abstrus : outils de « deception » (leurres et autres techniques proches du honeypoting) , endpoint detection and response (EDR), software-defined segmentation (offres Catbird, Cisco, Tempered Network), cloud access security brokers (CASB) et pour finir user and entity behavior analytics (UEBA). A cette liste s’ajoute les services MDR (services de détection et de réponse managés).

16, 17… 18 bulletins dont 5 qualifiés de « critique », pour un record absolu de 140 CVE : ce « mardi des rustines » décalé d’une semaine est l’un des plus fournis de la saga Windows. Avec notamment 5 failles critiques affectant le partage SMB (correctif MS17-010 ) et un défaut dans les composants graphiques MS (risque d’exploitation via une image forgée, MS17-013 ).
Mention spéciale du jury pour la MS17-008, qui comble 11 problèmes dans HyperV, dont une fuite depuis une VM pouvant nuire au système hôte.
En bas de colonne, le bulletin du MSDC prévient de la disponibilité de l’habituel correctif Adobe et de ses 7 CVE liés au très peu indispensable Flash Player. Ce même Adobe prévient également de la présence de quelques défauts corrigés dans Shockwave. Un seul CVE éliminé bloquant une possible élévation de privilèges.