Bien beau d’avoir un certificat, encore faut-il savoir s’il est fiable et valide. La norme utilisée étant quasiment toujours X509, étudions-en les caractéristiques.
Usage
SNI
Server Name Indication
Archives de l’auteur : Janiko
L’avenir du mot de passe
Le mot de passe est mort. Vive le mot de passe. On nous vend la mort du mot de passe un peu partout. Il faut dire qu’on ne peut plus rien vendre concernant le mot de passe, vu que tout a été dit ou fait sur le sujet. Donc il faut trouver un autre os à ronger.
Continuer la lectureSSRF
Vulnérabilité serveur à serveur permettant d’exécuter du script sur un serveur tiers alors qu’on ne devrait pas avoir le droit.
Continuer la lecture2020
Saison des vœux oblige, les éditeurs de sécurité nous souhaitent une année 2020 pleine de malwares et de problèmes de sécurité. Plusieurs sociétés nous font part de leurs prévisions.
Selon CheckPoint
CheckPoint a fait l’exercice (fin 2019) pour envisager ce que pourraient être les attaques de 2020. Difficile et périlleux, mais ils ont une approche intéressante : rapprocher les évolutions technologiques en cours (ou attendues) et les menaces afférentes. Logique, puisque le crime suit l’usage !
Continuer la lectureBiométrie : les attaques
https://www.engadget.com/gedmatch-cyber-attack-exposed-dna-police-190130728.html
Attaques sur l’enclave
Les données biométriques sont moins exposées lorsqu’elles restent sous le contrôle de utilisateurs, comme c’est normalement le cas dans l’utilisation des smartphones. Hélas, même le passage par le TEE (Trusted Execution Environment) réserve parfois de surprise, comme sur le OnePlus 7 Pro.
Source : https://www.securityweek.com/fingerprint-exposing-flaw-oneplus-7-phone-highlights-tee-issues
Cyberespace et droit
PAYS-BAS – Le pays publie une lettre remise au Parlement concernant la position du pays sur le droit international dans le cyberespace
Cette lettre, rédigée par le ministre des Affaires Étrangères et remise au Parlement début juillet 2019, vient d’être rendue publique. La pays présente ainsi sa vision face aux différents travaux sur le droit international appliqué au cyberespace qui ont été publiés par d’autres pays européens dont la France (voir revue de presse du 16/09/2019) ces derniers mois. Les Pays-Bas ont toujours été précurseurs dans le domaine des normes cyber notamment par la compréhension du droit international et son application dans le domaine cyber. Dans cette lettre, le ministre y décrit les positions du pays vis-à-vis de la souveraineté, la non-intervention, l’utilisation de la force, le droit humanitaire international ainsi que l’attribution des opérations cyber et le type de réponses possibles que le droit international cautionne.
– Ministère des Affaires Étrangères hollandais, Ministère des Affaires Étrangères hollandais, Just Security
Source : ANSSI
2019
Quelques sources d’informations stratégiques pour 2019.
Continuer la lectureDeepfake
- https://ai.facebook.com/blog/deepfake-detection-challenge
- https://www.wedemain.fr/Zao-l-appli-qui-permet-d-incruster-votre-visage-dans-une-video_a4284.html
- https://www.nextinpact.com/brief/google-veut-lutter-contre-des—deepfakes—audio-7588.htm
- https://www.lefigaro.fr/secteur/high-tech/2018/04/20/32001-20180420ARTFIG00134-la-viralite-d-une-fausse-video-d8216obama-met-en-lumiere-le-phenomene-du-deep-fake.php
- https://www.securityweek.com/growing-threat-deepfake-videos
- https://www.securityweek.com/coming-conference-room-near-you-deepfakes et sa conclusion :
Don’t believe everything you see on the internet.
https://www.securityweek.com/coming-conference-room-near-you-deepfakes
Human error
« I’m afraid I can’t do that. » On peut trouver ça inquiétant, mais en y regardant de plus près, peut-être pas : 99% des attaques ont besoin d’une action d’un utilisateur pour aboutir.
Continuer la lectureCybersecurity Act
Halte au sketch ! L’Union Européenne s’organise pour lutter contre les cyberattaques extérieures (ce qui sous-entend au passage que nous sommes tous amis au sein de l’UE et que personne n’attaquera son voisin).
Continuer la lecture