Après quelques semaines d'absence, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
[Brève] Microsoft va déployer une liste de mots de passe interdits
Dans le but de limiter l’utilisation de mots de passe trop simplistes (les fameux 123456 ou p4$$w0rd), Microsoft a collecté les données de 10 millions d’attaques quotidiennes afin de définir une liste des identifiants les plus utilisés. Ainsi, il sera désormais impossible de créer un mot de passe présent dans cette liste, les limitations seront déployées dans un premier temps sur le service Azure AD.
Source :
https://threatpost.com/microsoft-moves-against-bad-passwords/118330/
[Brève] Une autre attaque sur le réseau SWIFT dévoilée
Le réseau mondial utilisé par les banques pour la gestion des transferts d’argent a récemment annoncé la mise à jour de leur politique de sécurité en réponse à une nouvelle attaque, ce coup-ci sur la banque Banco Del Austro et ayant permis aux attaquants de repartir avec 8 millions de dollars en janvier 2016.
Source :
http://www.scmagazineuk.com/swift-to-update-cyber-security-policies-as-third-heist-pulled-on-user/article/498094/
[Brève] Tor va déployer un protocole distribué pour la génération de nombres aléatoires
Source :
https://nakedsecurity.sophos.com/2016/05/26/tor-takes-on-the-question-what-if-one-of-us-is-using-loaded-dice/
[Brève] Pastejacking, ou pourquoi il ne faut pas faire confiance à votre presse-papiers
Lorsqu’il s’agit de transférer du contenu depuis un site web vers votre ordinateur il est bien souvent plus facile d’utiliser un simple copier-coller. Toutefois un informaticien du nom de Dylan Ayrey a récemment démontré (sur son GitHub ou son site personnel) les risques que cette habitude pouvait induire, en effet grâce à une simple commande javascript un attaquant pourrait facilement remplacer le contenu du presse-papiers en un contenu bien plus malveillant.
Source :
https://nakedsecurity.sophos.com/2016/05/26/why-you-cant-trust-things-you-cut-and-paste-from-web-pages/
[Brève] Le département de la défense américain encore à l'âge des disquettes
Un récent rapport de l’US Government Accounting Office a dévoilé le retard technologique que certaines institutions présentent, avec parfois des disquettes de 80Kb pour gérer les fonctions des bombardiers nucléaires ou de missiles intercontinentaux.
Source :
http://fossbytes.com/us-military-floppy-disk-for-nuclear-force/
[Brève] Google souhaite la disparition des mots de passe avec le projet Abacus
Le projet souhaite utiliser toutes les informations disponibles sur ses utilisateurs (position, vitesse d’écriture, forme du visage, etc…) pour créer un Trust Score afin de prouver une identité sans nécessiter de mot de passe. Évidemment une telle mesure imposerait de fournir à Google encore plus de données personnelles, toutefois les créateurs du projet ont précisé que le calcul du Trust Score ne nécessiterait aucun envoi de données et pourrait être calculé entièrement sur le téléphone.
Source :
https://threatpost.com/google-aims-to-kill-passwords-with-project-abacus/118288/
[Brève] L’entreprise controversée BlueCoat devient une autorité de certification
BlueCoat, connu pour ses logiciels de surveillance du web notamment utilisés en Iran et au Sudan par le régime en place a récemment obtenu un CA (Certificate Authority) intermédiaire de la part de Symantec. Ce certificat facilite grandement les possibilités d’interception de flux dans les produits BlueCoat et a déclenché de nombreuses critiques des communautés de sécurité.
Source :
http://www.theregister.co.uk/2016/05/27/blue_coat_ca_certs/
[Brève] Le FBI alerte contre des keyloggers déguisés en chargeur de téléphone
L’appareil nommé KeySweeper est basé sur un simple circuit arduino qui écoute passivement et renvoie par GSM les frappes des claviers sans fil environnants.
Source :
https://www.helpnetsecurity.com/2016/05/24/keyloggers-usb-device-chargers/
[Brève] Un bug dans le protocole WPAD pourrait permettre des attaques MITM
Le protocole Web Proxy Auto-Discovery permet notamment de s’assurer que tous les postes d’une organisation utilisent bien le même proxy web. La faille pourrait permettre à un attaquant enregistrant le bon nom de domaine de forcer les postes de travail vulnérables à passer à travers son propre proxy web et donc d’intercepter des flux.
Source :
https://www.helpnetsecurity.com/2016/05/24/wpad-name-collision-bug/
[Brève] 13 millions de dollars volés dans des distributeurs de billets au Japon
Dans la matinée du 15 mai 2016 plus de 100 personnes se sont coordonnées pour retirer environ 1,44 milliards de yen en moins de 3 heures. Les retraits ont été effectués à partir d’informations de cartes de crédit volées, provenant notamment d’Afrique du Sud.
Source :
https://www.helpnetsecurity.com/2016/05/23/criminals-stole-millions-atm-japan/
[Brève] Victoire de Google dans le procès l’opposant à Oracle
Après 2 semaines de procès, une cour fédérale a jugé que l’utilisation de Google des API de Java rentrait dans le cadre des lois americaines du “Fair Use”.
Source :
http://fossbytes.com/google-beats-oracle-android-fair-use-java-api/
[Brève] Les détails d’une attaque sur un fournisseur de drones et de technologie d’armement dévoilés
Source :
http://www.theregister.co.uk/2016/05/24/anatomy_of_a_breach_swiss_cert_publishes_analysis_of_ruag_attack/