Bonjour,
Voici la dernière revue de presse de l’année 2014. Avant lecture, tout mes vœux pour la nouvelle année.
Voici ma synthèse de la sélection ci-dessous.
La CNIL a effectué des contrôles sur les Wifi en libre-accès. Cela ne nous concerne pas directement puisque notre Wifi nécessite une authentification mais cet article pourrait être le fil conducteur pour un chantier de mise en conformité de notre wifi invité. Travaux que nous suivrons dans le cadre du GT CNIL.
Faille de sécurité, la faille Poodle touche également la version 1 du protocole TLS. Affaire à suivre …
Menace, le kit de DDOS utilisé juste après Noêl contre le réseau des éditeurs de consoles (Xbox et Playstation) coûte environ 130$/mois pour effectuer des attaques de 8h.
Attaque ciblé, La première concerne le régulateur mondiale de l’Internet. Il s’agit de l’ICANN qui s’est fait pirater son SI mais également les serveur DNS racine. Cette intrusion pourrait avoir de grave conséquence sur le fonctionnement du réseau de réseau et aussi remettre en cause la légitimité de certains services. Je trouve cela vraiment inquiétant à l’heure du Tout as a service. La seconde parle d’une banque Américain victime d’un piratage par manque de sécurité sur une partie sous-estimée du SI exposé sur Internet.
L’article de fond est présent pour souligner que la sensibilisation des utilisateurs est un axe important de la sécurité qui ne doit pas être lésiné.
Le complément choisi est plus à destination des juristes. Le vol de données numériques est officiellement pénalement considéré et cela pourra faire partie de notre arsenal juridique le jour où nous serons capable de les détecter.
CNIL :
Internet et wi-fi en libre accès : bilan des contrôles de la CNIL
Dans le cadre de son programme des contrôles, la CNIL s’est intéressée aux services de libre accès à internet. La plupart de ces services ne satisfont pas aux exigences de la loi » Informatique et Libertés « . La CNIL propose 5 mesures à adopter pour se mettre en conformité.
http://www.cnil.fr/nc/linstitution/actualite/article/article/internet-et-wi-fi-en-libre-acces-bilan-des-controles-de-la-cnil/
Failles de sécurité :
La faille Poodle touche cette fois le protocole TLS
Décrite en octobre par des ingénieurs de Google, la faille Poodle découverte dans l’ancien protocole SSL 3.0 s’étend en fait au nouveau protocole TLS. Les webmasters doivent effectuer des vérifications sur leurs sites HTTPS Secure (HTTPS).
http://www.lemondeinformatique.fr/actualites/lire-la-faille-poodle-touche-cette-fois-le-protocole-tls-59544.html
Menaces :
La plate-forme de DDoS qui a fait tomber le Xbox Live et le PSN accessible à tous
Finalement, tout s’explique. Après avoir mis à genoux les réseaux Xbox Live et Playstation Network pendant la fête de Noël, les pirates de Lizard Squad viennent de lancer « Lizard Stresser », un service DDoS payant basé sur un gigantesque botnet. Gonflés, les « hackers » reptiliens précisent que c’est bien avec cet « outil » qu’ils ont engorgé les serveurs de jeu de Microsoft et de Sony. En somme, cette attaque de fin d’année n’était, ni plus ni moins, une action publicitaire en période de forte affluence. Ces ovipares sont des petits malins !
http://www.01net.com/editorial/638911/vous-aussi-piratez-xbox-live-et-psn-a-partir-de-5-99-dollars-mois/#?xtor=RSS-16
Attaques ciblées :
ICANN : Régulateur mondiale d’Internet a été piraté (Serveur DNS Racines inclus)
http://www.darknet.org.uk/2014/12/icann-hacked-including-root-dns-systems/
L’absence d’authentification à 2 niveaux au coeur du piratage de JPMorgan
Selon le New York Times, pour s’introduire dans les systèmes informatiques de la banque JPMorgan en août dernier, les attaquants ont volé les identifiants d’un employé et les ont utilisés pour accéder à l’un des serveurs de JPMorgan non protégé par un système d’authentification à deux facteurs.
http://www.lemondeinformatique.fr/actualites/lire-l-absence-d-authentification-a-2-niveaux-au-coeur-du-piratage-de-jpmorgan-59713.html
Articles de fond :
Les Français choisissent très mal leurs mots de passe
Selon Dashlane qui a réalisé une étude statistique basée sur 70 000 utilisateurs dans le monde, les Français seraient en Europe ceux qui choisissent le moins bien leur mot de passe, du point de vue des recommandations sur la sécurité.
http://www.numerama.com/magazine/31636-les-francais-choisissent-tres-mal-leurs-mots-de-passe.html
Compléments :
Vol de données numériques
L’infraction relative au vol de données numériques a jusqu’à présent représenté une difficulté en matière pénale. En effet, l’infraction de vol, à savoir la soustraction frauduleuse du bien d’autrui, pouvait s’adapter en matière données numériques, sans être expressément prévue. Dorénavant, et depuis la loi n°2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme, le fait de dérober des données numériques à leur légitime détenteur est défini et pénalement répréhensible.
http://securitetic.fr/2014/12/14/vol-de-donnees-numeriques/
A bientôt
Ma vie de RSSI 