Brèves

De 50 à 100 000 dollars : le plafond de la prime au bug de Microsoft vient d’être relevé , et le spectre des domaines de recherche élargi, incluant notamment les problèmes d’authentification sur les services en ligne ainsi que sur RemoteApp (service Azure)

Google entame le long chemin qui conduira au colmatage (partiel) de la faille Stagefright . Dans un premier temps, la famille Nexus sera corrigée , et l’éditeur encouragera les OEM à déployer ce correctif. Samsung annonce, de son côté, une mise à jour pour ses appareils récents

La cellule sécurité de Dell publie une étude dense et exhaustive sur les activités et capacités du Threat Group-3390, ces « techno-mercenaires » Chinois spécialisés dans le cyber-espionnage et le déploiement d’APT.

Le salage des condensats ne résout pas tout : si le reste de l’infrastructure de chiffrement ne suit pas et si la chaîne d’authentification n’est pas renforcée par certains outils explique Jeff Jarmoc dans un billet intitulé « Enough With the Salts: Updates on Secure Password Schemes »

Bugcrowd, entreprise spécialisée dans les tests de pénétration, vient de publier une analyse du marché des « bug bounty » : quelle genre de faille rapporte le plus aux chercheurs en sécurité, quelles sont les plus fréquentes

Ils ont crû en « terre-cuite », les hackers Chinois à l’origine d’une déferlante d’APT. Terracotta est le nom attribué par RSA à un service VPN . Un VPN apprécié par les groupes d’espionnage industriels spécialisés dans la diffusion des attaques APT, visant notamment Anthem et l’OPM expliquent les quelques 30 pages d’analyse .

Stephan Esser révèle l’existence d’une faille affectant OS X 10.10 (Yosemite) pouvant contribuer à une attaque en escalade de privilège. Le trou est également présent dans OS X 10.10.4 et la préversion de OS X 10.10.5. L’autre préversion OS X 10.11 (El Capitan) est déjà corrigée.

Le Troyen bancaire Dridex ne cesse de faire parler de lui, depuis des mois. Et plus récemment sur le blog de McAfee et en français sous la plume de David Grout et dans une analyse de Sylvain Sarméjeanne de Lexsi.

Selon le Wall Street Journal, Github vient de réaliser une levée de fonds de 250 millions de dollars . Cette même semaine, le groupe concurrent DHI décidait de revendre Sourceforge , dont l’activité est en perte de vitesse depuis plus de 5 ans

Apple vient de corriger une faille importante affectant iTunes et Appstore pouvant être exploitée à distance. Les détails du défaut et de l’attaque possible sont fournis par l’alerte publiée par leur inventeur, Vulnerability Lab