Malgré un patch diffusé en 2010, une vieille faille SAP a abouti à la compromission des données d’au moins 36 entreprises. L’illustration des enjeux de sécurité que soulèvent les environnements SAP.
Actualités Politique de sécurité
Enorme bug dans le noyau Linux 3.4 proposé par Allwinner
La faille permet de rooter le système en une seule commande. Le dérivé communautaire de cette offre n’est pas concerné. Mais la plupart des tablettes équipées d'un SoC Allwinner sont touchées.
Nouvelle faille critique pour Adobe Flash
Une faille critique non corrigée pour Flash et 93 vulnérabilités éliminées dans Adobe/Acrobat Reader. Adobe est attaquée de toute part.
Seconde mise à jour de sécurité pour Chrome 50
Une nouvelle mise à jour de sécurité est proposée pour le navigateur web Google Chrome 50. Elle corrige cinq failles, importantes, mais non critiques. Mise à niveau recommandée.
Patch Tuesday : avalanches de correctifs critiques en mai
Le Patch Tuesday de mai comprend 16 correctifs dont 8 sont classés comme critiques. IE, Edge, Flash, Office et Windows restent les plus vulnérables.
Télégrammes : Pornhub lance son bug bounty, Viv en démo, les US sondent la sécurité mobile, Europe illimité chez SFR Business
Pas de passage en force en utilisant le 49.3 pour lire les télégrammes dur soir.
Docker publie son scan de securité des conteneurs
Anciennement connu sous le projet Nautilus, Docker rend disponible son outil de scanning de sécurité des conteneurs. Un pas supplémentaire pour rassurer les entreprises.
Télégrammes : Iliad intéressé par O2, Opera un VPN gratuit pour iOS, 230 iPhone à faire parler, Netsuite à 99 dollars à vie
Pas de suspension, pas de démission, pas de destitution pour les télégrammes du soir toujours fidèles au poste.
Une vulnérabilité vieille de 5 ans menace des millions de terminaux Android
FireEye a découvert une vulnérabilité dans le composant radio de Qualcomm, faille qui peut-être exploitée en toute discrétion par un attaquant.
Lenovo corrige une faille critique dans son Solution Center
Encore une faille dans les outils Lenovo. C’est cette fois-ci le Solution Center de la firme qui est touché. Un outil présent sur les PC professionnels du constructeur.
Pour Microsoft, les vieux virus ont la vie dure
Dans son rapport sur la sécurité, Microsoft dresse un panorama de son activité en cybersécurité. On constate que les vieux virus restent une valeur sûre.
Il n’est plus possible de bloquer l’accès au Windows Store sur Windows 10 Pro
Microsoft retire aux sysadmin la possibilité de bloquer l’accès au Windows Store sur l’édition Pro de Windows 10. Cette fonctionnalité sera maintenant réservée à l’édition Enterprise de l’OS.
Nos données de santé (mal) protégées par l’indésirable SHA-1
Un dispositif occulte les identifiants nominatifs des assurés. Mais cette fonction repose sur un algorithme de hachage obsolescent : SHA-1.
Télégrammes : Opera adblock natif, Mega vol de données mails, Sigfox étend son rêve US, Lenovo très start-up
Avant de partir et de profiter du pont de l’ascension, il est temps de lire les télégrammes du soir.
Les ransomwares tirent et réclament à tout va
Distributeur d’eau et d’électricité, créateur de jeux, Pirate Bay, les ransomwares continuent leur diffusion tout azimut en perfectionnant leurs méthodes et leurs demandes.
SmartThings de Samsung, une porte ouverte sur les failles
Des chercheurs ont trouvé plusieurs failles de sécurité dans SmartThings, la plateforme de domotique de Samsung.
Sécurité Open Source : CII qualifie plusieurs projets
La Fondation Linux a distribué ses premières qualifications portant sur les pratiques de sécurité des projets Open Source. La première concrétisation de la Core Infrastructure Initiative, née du choc de la faille Heartbleed..
Chiffrement : Microsoft va bannir le SHA-1 dans Windows 10 Anniversary Update
Les certificats estampillés SHA-1 ne seront plus reconnus par la prochaine version de Windows 10. Et de manière définitive dans les navigateurs de Microsoft en février 2017.
La France incite ses étudiants à devenir réservistes cyber
La France veut amener davantage d'élèves ingénieurs et informaticiens à rejoindre ses bataillons de réservistes « cyber » mobilisables en cas d'attaques ciblant des sites stratégiques.
Google Chrome 50 corrige ses failles
9 failles de sécurité sont éliminées du navigateur web Google Chrome. Cette offre, utilisée par un internaute sur deux en France, devra être mise à jour sans délai.
Le FBI a recruté chez Tor pour démasquer les utilisateurs
Selon la presse américaine, le FBI aurait obtenu l’aide d’un ancien développeur du projet Tor pour désanonymiser les utilisateurs du réseau.
Sécurité : Cisco tacle les méthodes agressives du Français Tuto4PC (MAJ)
Cisco a disséqué le comportement de certains logiciels édités par Tuto4PC. Pour l'Américain, les méthodes du Français s'apparentent à de l'implantation de backdoors et certains de ses logiciels se rapprochent de malwares.
LuxLeaks : une fuite de données facilitée par… Microsoft
Les données dérobées par un lanceur d’alerte à PwC Luxembourg étaient en réalité assez facilement accessibles. La faute à une « anomalie » technique sur une technologie Microsoft.
Firefox blinde la protection de son moteur JavaScript
W^X permet de grandement améliorer le niveau de sécurité du moteur JavaScript de Firefox. Il est intégré à Firefox 46.
Télégrammes : Open365 en version bêta, Snowden accélérateur de chiffrement, Centrale nucléaire allemande infectée, Orange solide
Moins loin que le contrat du siècle de DCNS avec l’Australie, voici les télégrammes du soir.
Attaques DDoS : bluffer suffit pour bien gagner
CloudFare rapporte que des sociétés ont payé plus de 100 000 dollars après des mails de menaces d’attaques par déni de service... alors que les attaques promises seraient purement fictives.
Robinson Delaugerre, Verizon : « Les menaces n’ont pas fondamentalement changé »
Selon le rapport Data Breach Investigations 2016 de Verizon, la persistance des mêmes menaces entre 2014 et 2015 souligne l'inefficacité des systèmes de sécurisation.
Les données de 93 millions d’électeurs mexicains exposées
Les données de millions d'électeurs mexicains ont été rendues librement accessibles sur Internet, sans mot de passe, selon un chercheur en sécurité. Une enquête est en cours.
Une faille dans RegSVR32 sème la panique dans Windows
Une personne a trouvé un moyen d’utiliser l’outil RegSVR32 de Windows pour installer n’importe quelle application, y compris une application malveillante.
Sécurité : le MIT teste son bug bounty
Le MIT a lancé officiellement en test son bug bounty. Les étudiants et chercheurs vont pouvoir partir à l’assaut de plusieurs sites du célèbre Massachusetts Institute of Technology.