|
Navixia SecurityWatch - Mars 2019
|
|
|
Vulnérabilités / Incidents
Supply Chain Attack chez ASUS
Nouvelle contamination à large échelle via les mises à jour software d'un éditeur de confiance. Des pirates ont infecté le système de mise à jour d'ASUS et injecté un malware backdoor dans des centaines de milliers de machines Windows entre juin et novembre 2018. Selon Kaspersky, les pirates avaient un but précis: atteindre quelques centaines de machines, identifiées par leur MAC address, qui devaient ensuite être contaminées par un deuxième malware. On ne connaît ni le but visé par les pirates (politique? économique? espionnage?) ni l'identité de leurs cibles. Kaspersky suppose qu'ils ont gagné accès aux serveurs ASUS lors de la contamination des mises à jour de CCcleaner en septembre 2017. Les attaques qui passent par des canaux de distribution de confiance ("supply chain attacks") se multiplient et sont particulièrement difficiles à prévenir. Les éditeurs doivent redoubler de prudence.
|
|
|
|
|
Veille technologique / Tools
Hackers et e-voting
La Poste a lancé en février un test public d'intrusion afin de tester sa solution de e-voting, développée par la société catalane Scytl et pressentie pour être utilisée à terme dans tous les cantons suisses. Le code source a été partiellement publié avant le test d'intrusion et a immédiatement suscité des retours critiques. A ce jour, un trio de chercheurs (UK, Belgique et Australie) a mis au jour deux éléments problématiques principaux:
- Vulnérabilité de la solution depuis l'intérieur du réseau. Lors du processus de décryptage des votes, ceux-ci pourraient potentiellement être remplacés par d'autres de manière non détectable. La Poste a objecté que pour cela il faudrait avoir accès à son réseau interne. Même ainsi, cela n'exclut pas que les résultats puissent être influencés par ses propres collaborateurs. Voici les explications des chercheurs. Et la réaction de Scytl ici.
- Possibilité de fausser le processus de décryptage. En raison d'une implémentation problématique de l'heuristique de Fiat-Shamir, il serait possible de modifier des résultats (pour les invalider, par exemple) tout en produisant la preuve qu'ils ont été décryptés de manière correcte. Les explications sont ici. Voici la réaction de La Poste à cette dernière publication.
Pour des raisons évidentes, le e-voting est un thème particulièrement sensible dans notre pays et suscite de ce fait des réactions virulentes (en voici une parmi d'autres). Il sera essentiel que la confiance autour de la solution retenue soit totale pour qu'elle puisse être adoptée sans réserves. La manière dont La Poste / Scytl réagiront aux objections et traiteront les problèmes soulevés sera déterminante.
|
|
|
|
|
Veille technologique / Tools
Marketing et fuites de données
Un fichier agrégeant plus de 800 millions de données marketing, dont 763 millions d'adresses e-mail uniques et des informations personnelles, a été exposé sur le web et découvert en février par les chercheurs Bob Diachenko et Vinny Troia. Il appartenait à verifications.io, une entreprise de validations d'adresses mail à des fins de marketing. De telles entreprises sont mandatées par leurs clients pour tester (en les spammant) la validité des listes d'adresses utilisées pour des campagnes marketing. Ce cas est emblématique parce qu'il montre que nos données personnelles sont susceptibles d'être détenues et exposées dans des entreprises dont nous ne soupçonnons même pas l'existence et qui, elles-mêmes, n'ont pas forcément mis en place des procédures de sécurité adéquates. Lisez l'intéressant rapport de Bob Diachenko sur les détails de sa découverte.
|
|
|
|
Informations fournisseurs
Advanced Endpoint Protection
Les principaux vendeurs du marché dans le domaine de l'Advanced Endpoint Protection ont été testés par NSS Labs, qui publie les résultats dans son Security Value Map. A noter que les trois entreprises les moins bien classées ont souhaité rester anonymes. Les résultats sont ici.
|
|
|
|
Informations fournisseurs
Dernières versions software
La liste des dernières versions logicielles utilisées dans les solutions que nous proposons se trouve ici.
|
|
|
|
|
Sites d'intérêt
Le retour du vintage
La nostalgie est au goût du jour et voici des sites qui soutiennent cette tendance :
- Colorisez vos vieilles photos de famille noir/blanc à l'aide du moteur de colorisation colorize.sg. C'est vraiment intéressant de voir comment l'intelligence artificielle réinterprète les couleurs par déduction. Encore au stade de prototype, mais très prometteur.
- Explorez le web vintage avec le moteur de recherches wiby.me. Il ne cherche que les pages web "légères" et donc anciennes. Cliquez sur "suprise me" et vous remonterez dans le temps - pas toujours avec regret, il faut le dire, les standards graphiques ayant bien évolué.
- Naviguez comme au début des années 1990 avec le browser du CERN
https://worldwideweb.cern.ch/
Sélectionnez "Document" > "Open from full document reference", puis entrez l’adresse complète d'un site pour le voir en mode hyperlien comme à l'époque.
|
|
|
|
Sites d'intérêt
La sécurité autrement
Pas besoin de commentaires, ces mèmes se suffisant à eux-mêmes:
|
|
|
|
|
Informations / News Navixia
Cours Optimiser Check Point R80.20 au quotidien
Découvrez comment exploiter tous les avantages de la nouvelle plate-forme Check Point dans votre infrastructure d'entreprise! Ce cours mêle efficacement la théorie et la pratique. Il est donné par nos spécialistes qui sont rompus aux problématiques du terrain et vous fera gagner beaucoup de temps au quotidien. Informations et inscriptions ici.
|
|
|
|
Informations / News Navixia
Navixia recrute!
Navixia cherche un nouvel ingénieur sécurité pour compléter son équipe. Une occasion unique de pratiquer la sécurité informatique dans une entreprise qui prend soin de ses collaborateurs! Plus d'infos ici.
|
|
|
|