Toute l’info en 3 minutes – Technologie et Sécurité (13 avril 2014)

Voici, en 3 minutes, toutes les infos qu'il ne fallait pas manquer :

La nouvelle incontournable concernant la sécurité cette semaine est bien entendu la faille  de sécurité Heartbleed qui affecte logiciel OpenSSL nécessaire à  la  transmission sécurisée des données sur la toile. En Suisse, les sites d’e-banking de plusieurs banques suisses (42 / 51 banques testées) ont été vulnérables. La  Fed a également demandé à  ses banques de remédier le plus vite possible à  la faille Heartbleed en appliquant les mises à  jour de sécurité sur les systèmes, services, applications et matériels utilisant le logiciel OpenSSL. Voici une présentation de cette vulnérabilité en vidéo :

Cette faille peut permettre à  un pirate d’accéder aux clés cryptographiques et de voler des données qui transiteraient comme par exemple des mots de passe. Il y a néanmoins pas lieu de paniquer car, même si l’utilisation de la faille est simple (beaucoup de sites sur le web proposent de le tester directement en ligne), l’exploitation des données qui auraient pu être volées se révèle pas catastrophique comme le prédisaient certains sites: Dans le cas d’une session e-banking, le mot de passe ne suffit pas à  s’authentifier car il requiert également le code unique (One-Time- Password) reçu par SMS, généré par calculette ou directement sur une clé avec code regénéré chaque minute. Du côté des serveurs, les dernières analyses montrent que l’utilisation des certificats potentiellement volés semble impossible comme l’explique Bruce Schreiner, une éminence mondialement reconnue dans le domaine de la sécurité.

L’autre nouvelle de la semaine est la fin du  support sur Windows XP, ce 8 avril 2014. Certes stable, il reste un problème dans le monde où de nombreux systèmes sont toujours équipés de cet OS. Un problématique qui pourrait également avoir des conséquences juridiques pour les Directeurs des Systèmes d'Informations (DSI) qui ne sont plus en mesure de corriger d’éventuels nouveaux défauts découverts.

En cohérence avec un récent rapport de Symantec qui souligne deux grandes tendances, soit l’explosion du vol de données et la forte hausse des attaques ciblées, les Autorités allemandes enquêtent sur le plus grand vol de données du pays où des pirates ont volé les détails de 18 millions de comptes de messagerie.  L’analyse de ces adresses a permis de déterminer que 38’000 adresses sont enregistrées en Suisse.

Dans le monde de la cybercriminalité, nous connaissions l’armée syrienne électronique et voici maintenant un nouveau groupe d’hacktiviste actif sous le nom de cyberarmée européenne (CEA) qui divulgue à  cette occasion plus de 60 000 détails de  comptes volés sur des sites syriens.

Une nouvelle un peu plus sympathique; Souvenez-vous, il y a 50 ans, le 7 avril 1964, IBM présentait le System/360 qui marquait le début des grands systèmes Mainframe. Ce projet répondait à  un besoin d’uniformisation des ordinateurs car avant les ordinateurs étaient élaborés quasiment sur mesure y compris l’OS et IBM avait du mal à  garantir la maintenance et les mises à  jour.

La suite des principales actus sélectionnées par ici :

• Record de vols de données et d’attaques ciblées en 2013 selon Symantec

  « Symantec a rendu son rapport sur les attaques menées en 2013. Il souligne deux grandes tendances  : l’explosion du vol de données et la forte hausse des attaques ciblées. »

  tags: tecsec vol de données Symantec

• Le mainframe d’IBM fête ses 50 ans

  « Le 7 avril 1964, IBM présentait le System/360 qui marquait le début des grands systèmes pour la firme. Cette aventure répondait à  un besoin d’uniformisation des ordinateurs et d’une meilleure compatibilité dans les programmes. »

  tags: tecsec Mainframe ibm anniversaire

• Plusieurs dizaines de milliers d’adresses e-mail d’utilisateurs suisses compromises

  « Le Service de coordination de la lutte contre la criminalité sur Internet (SCOCI) a été informé le 7 avril 2014 par les autorités allemandes que plusieurs millions d’adresses e-mail ont été piratées. Ces adresses ont été utilisées pour envoyer des courriels non désirés (SPAM) à  l’insu du propriétaire. »

  tags: tecsec spam vol de données Suisse

• European Cyber Army leaks 60k credentials compromised from Syrian sites

  « More than 60,000 accounts details have been leaked by a hacker from European cyber army(ECA) going by handle « Zer0Pwn ». The database dump is said to be compromised from two syrian websites : job.sy and realestate.sy. »

  tags: tecsec vol de données European Cyber Army Syrian Electronic Army

• Hackers steal details of 18 million email accounts

  « German authorities on Tuesday confirmed they were investigating the country’s biggest ever data theft – which saw hackers steal details of around 18 million email accounts. »

  tags: vol de données Allemagne tecsec

• Fin de Windows XP, et la sécurité dans tout ça ?

  « Mais, prévient Lexsi dans une tribune, prolonger la vie de Windows XP pose aussi des questions de conformité et réglementaires. »

  tags: tecsec Windows

• La NSA dément avoir profité de la faille de sécurité Heartbleed

  « La NSA a démenti vendredi 11 avril des révélations de l’agence Bloomberg selon lesquelles  l’agence de surveillance américaine avait connaissance et exploité à  son profit le bug   « Heartbleed   » »

  tags: tecsec Heartbleed nsa

• Les banques sommées d’agir « le plus vite possible » contre la faille Heartbleed

  « Les régulateurs du secteur bancaire aux Etats-Unis demandent aux banques, jeudi 10 avril, de remédier «  le plus vite possible   » à  Heartbleed, une sérieuse faille de sécurité découverte sur le logiciel OpenSSL. »

  tags: tecsec Heartbleed faille

• Cybersécurité: Plus de 40 banques suisses sont exposées à  «Heartbleed »

  « Découverte cette semaine, la faille de sécurité «Heartbleed » affecte aussi des banques suisses, comme le Crédit Suisse et une foule d’établissements cantonaux. Leurs sites d’e-banking sont vulnérables. »

  tags: tecsec cybercriminalité Heartbleed Suisse