Des pirates ont combiné des failles zero-day dans le navigateur de Google et Windows 7 pour exécuter du code. Pour Chrome, il faut installer la version du 5 mars. Microsoft travaille sur un correctif.
Actualités Sécurité
Firefox utilisera Letterboxing pour limiter le tracking publicitaire
La version 67 de Firefox intégrera Letterboxing. Cette technique est implantée dans le navigateur Tor depuis quatre ans.
DevOps : l’automatisation de la sécurité monte en puissance
Les organisations les plus avancées en matière de DevOps investissent pour automatiser la sécurité plus tôt dans le cycle de développement logiciel.
VMware annonce un pare-feu “service defined”
Le pare-feu “service defined” de VMware sécurisera les services et les logiciels au lieu de se concentrer sur l'infrastructure.
Accès à privilèges : CyberArk renforce la sécurité de comptes cloud
CyberArk renforce les capacités de protection de comptes dans le cloud (AWS, Azure...) avec sa solution v10.8 Privileged Access Security.
Mot de passe : quelles alternatives ?
Souvent à l’origine des piratages, le mot de passe ne serait pas assez sécurisé. Cela dit, même s’il n’apporte pas le niveau de sécurité le plus élevé, sa plus grosse faiblesse ne réside pas dans sa technologie mais dans le comportemen ...
Cybersécurité : à qui profite la pénurie de compétences ?
Les entreprises dans le monde peinent encore à recruter et retenir des spécialistes en cybersécurité. Malgré la hausse des rémunérations d'experts.
WebAuthn : l’authentification biométrique validée par le W3C
WebAuthn doit permettre de sécuriser une connexion au site de sa banque ou ouvrir une session sur son ordinateur sans le moindre mot de passe.
Security Rating : 3 critères pour évaluer les risques de cybersécurité
Le principe commun à toutes les solutions de security rating est de produire une note représentant la performance et la maturité cyber sécurité d’une organisation par une évaluation automatisée, continue et reproductible sur la base de ...
Cybersécurité : les RSSI rationalisent leur portefeuille de fournisseurs
En 2018, 54% des responsables de la sécurité informatique travaillaient avec 10 fournisseurs de solutions ou moins. Ils sont 63% désormais.
Azure Sentinel : Microsoft renforce son offre de sécurité avec un SIEM
Azure Sentinel, disponible en preview, est la première offre de SIEM sur le Cloud de Microsoft. Sa tarification n'est pas encore disponible.
Vol de mot de passe : 3 bonnes pratiques pour atténuer les risques
Les menaces visant les mots de passe de type pickpocket peuvent être perpétrées de l'intérieur ou de l'extérieur. Elles peuvent se produire aussi bien dans notre vie privée que dans des entreprises, organisations ou administrations.
Le vilain petit secret du Cloud public : le coût du déchiffrement !
Dans le Cloud public, la puissance de calcul est peut-être bon marché, mais elle n’est pas gratuite…
Chrome : alerte aux fichiers PDF ouverts
Des experts en sécurité ont découvert une faille dans Chrome qui permet d’accéder aux données de l’utilisateur via un PDF. Un correctif sera publié fin avril.
IoT : ARM lance un programme de certification de sécurité
ARM s’est associé à plusieurs laboratoires indépendants pour proposer des tests de certification de sécurité pour les objets connectés basés sur son architecture PSA.
Douanes : l’analyse des données reste limitée pour lutter contre la fraude
Créé en 2016, le service d’analyse de risque et de ciblage (SARC) aurait permis de notifier près d’un million d’euros de droits et taxes éludés cette année selon les résultats annuels communiqués par Bercy.
DNSpionnage : l’Icann dénonce une cyberattaque mondiale
Un piratage de grande ampleur qui s’attaque à l'infrastructure du Web en ciblant les DNS est en cours. Des institutions publiques mais aussi des entreprises situées en Europe et au Moyen-Orient sont les principales victimes.
Bug Bounty : GitHub augmente ses primes de chasse aux bugs
Dans le giron de Microsoft, GitHub « se réserve le droit d'augmenter considérablement les montants versés » aux chercheurs de failles critiques.
5 points clés pour sécuriser le Cloud hybride
Associé aux besoins toujours plus importants en termes de puissance de calcul, le marché du cloud hybride devrait offrir des perspectives nouvelles aux organisations souhaitant réduire leur coût de possession de matériel informatique, ...
Forum économique mondial : il est temps d’apporter une réponse à la hauteur de la menace cybernétique !
Le rapport Global Risks Report 2019 du Forum économique mondial classe le vol de données et les cyberattaques parmi les cinq grands risques mondiaux qui risquent le plus de se concrétiser. La grande question qui se pose maintenant est ...
RSSI : 3 points à retenir sur les risques liés aux tiers
Seul un RSSI sur deux considère efficace la gestion du risque lié aux tierces parties pratiquée dans l'entreprise, selon le Ponemon Institute.
Crypto-monnaies : quand le piratage menace les plateformes
Il y a bien des raisons qui font que les crypto-monnaies intéressent de très près les pirates. Mais la plus importante, avec l’anonymat que ces monnaies procurent, est probablement le fait que ce domaine n’est absolument pas réglementé ...
Bug bounty : YesWeHack monte en puissance
La plateforme de Bug Bounty YesWeHack lève 4 millions d’euros pour développer son activité en France et à l'international.
Inventaire IT : Qualys dresse Cloud Asset Inventory
Qualys Cloud Asset Inventory fournit une visibilité étendue des actifs informatiques globaux d'une entreprise aux équipes IT et sécurité.
Analyse post-faille de sécurité : les 3 étapes clés
Voici trois étapes importantes pour aider les entreprises à transformer leur évaluation post-failles en bonnes pratiques exploitables qui les protégeront contre les attaques futures.
RSSI : les 4 compétences clé…au delà de la sécurité
Le RSSI moderne n’est pas seulement un chef de service chargé de mettre en œuvre et de gérer des mesures de sécurité. Il doit disposer également d'un ensemble de compétences non techniques.
Données privées : Apple fait la guerre aux applications espionnes
Apple somme les développeurs d’applications de retirer leurs mouchards ou de les indiquer de manière explicite en demandant l’autorisation des utilisateurs.
Bug bounty : Google a versé plus de 15 millions $ de récompenses
Lancé en 2010, le programme de bug bounty Vulnerability Reward Program qui est ouvert aux chercheurs en sécurité rencontre un succès croissant.
RGPD : Microsoft contraint de mettre à jour Office Pro Plus aux Pays-Bas
Après un audit concluant à des problèmes de confidentialité des données, Microsoft est contraint de mettre à jour Office Pro Plus avant la fin avril.
Ransomware as a Service : le juteux business model de Satan & Co
Grâce aux plateformes de ransomware as a service (RaaS) les cybercriminels peuvent proposer leurs créations à la demande, permettant à n’importe qui, même novice, de diffuser des ransomware et contribuant à accroitre les risques encour ...