Apple a publié sans crier gare une mise à jour 9.3.5 pour iOS. Elle contient en fait des correctifs importants de sécurité. Les failles comblées ont été exploitées dans des attaques sophistiquées et persistantes pendant plus de trois ans.
Research and publish the best content.
Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
Already have an account: Login
Cybersécurité - Innovations digitales et numériques
38.5K views |
+0 today
Vous trouverez dans ce thème des actualités, en France et dans le monde, sur les innovations digitales et numériques, en passant par la cybersécurité ou confiance numérique, l'informatique en nuage, les mégadonnées ainsi que le management des services et de projet
Curated by
Stéphane NEREAU
 Your new post is loading...
Your new post is loading...
Scoop.it!
Suite à une faille zero day découverte dans Windows et exploitable au travers de PowerPoint, Microsoft a publié un correctif temporaire.
Stéphane NEREAU's insight:
Microsoft a publié un correctif temporaire pour palier les conséquences d'une faille zero-day qui concerne toutes les versions de Windows, exception faite de Windows Server 2003. Cette faille est actuellement exploitée via PowerPoint quand un utilisateur ouvre un fichier Office malicieux contenant un OLE (Object Linking and Embedding). OLE permet à un utilisateur d'éditer un fichier PowerPoint au travers, par exemple, d'un document Word. « A cet instant, nous sommes au courant d'attaques ciblées limitées qui tentent d'exploiter une vulnérabilité au travers de PowerPoint », a indiqué Microsoft. 
Scoop.it!
Google vient de dévoiler son intention de recruter des hackers pour constituer une nouvelle équipe de chercheurs baptisée « Project Zero ». Les nouvelles recrues auront pour mission de détecter les failles de sécurité présentes sur internet dans le but d’empêcher les cyber-attaques. L’objectif principal de ce programme sera d’identifier les failles zero-day et de diffuser l’information largement en cas de menace. Le but est d’éviter que trop de temps ne s’écoule entre la découverte d’une menace et sa divulgation au public concerné, comme cela a été le cas dans certaines entreprises victimes d’attaques récentes. Parmi les attributions relatives à la sécurité sur internet, l’équipe sera également chargée d’effectuer des recherches sur la manière dont les attaques auront été portées et la façon d’y remédier.
Stéphane NEREAU's insight:
Toutes les entreprises doivent surveiller leur propre système informatique pour être en mesure de détecter une activité anormale – par exemple si les fichiers sont déplacés de façon inhabituelle ou bien si des utilisateurs se connectent alors qu’ils ne le devraient pas. Comprendre ce qu’est un événement « normal » est la clé pour permettre l’identification d’un comportement suspect – et qui peut être mieux placé que l’entreprise elle-même pour faire la différence entre une activité habituelle et anormale ? La surveillance continue du réseau alliée à l’intelligence collaborative représentent l’idéal de la cyber-sécurité et nous pouvons espérer que l’équipe « Project Zero » de Google nous en rapprochera. Nous sommes tous en train de construire le même puzzle et le fait de travailler ensemble devrait nous aider à trouver la pièce maîtresse qui manque aujourd’hui.
Scoop.it!
L’Electronic Frontier Foundation a déposé plainte contre la NSA. L’agence de sécurité est accusée de ne pas avoir transmis de réponses à des demandes portant sur les failles 0-day qu'elle est accusée d'avoir utilisées. Explications.
Stéphane NEREAU's insight:
Il est certain que les failles jouent un rôle clé dans le réseau de surveillance américain. Le site RT rappelle à ce sujet que le groupe formé par Obama pour inspecter les méthodes de la NSA avait suggéré que les failles 0-day avaient tout intérêt à être colmatées le plus rapidement possibles, car elles concernaient aussi les ordinateurs et les réseaux des administrations américaines. Le même groupe indiquait cependant qu’en de rares exceptions, une brève autorisation pouvait permettre les agences de se servir de telles failles, après approbation des décideurs concernés.
C’est finalement ce qu’essaye de savoir l’EFF : qui décide quoi, sur quels critères, et pour combien de temps. En l’état, il est difficile de savoir si l’exploitation des failles se fait effectivement durant un cours laps de temps avant d’être rapporté à l’éditeur concerné, ou si elle continue pendant plusieurs années.
|
Scoop.it!
Les Etats-Unis, notamment par le biais de la NSA, achètent et identifient des failles Zero-Day. Combien en tout ? D'après un chercheur présent à la DefCon, ce chiffre ne dépasserait pas les 50.
Scoop.it!
Stéphane NEREAU's insight:
Google souhaite à présent s’attaquer aux vulnérabilités critiques, ou Zero-Day, menaçant les utilisateurs du Web au travers d’une nouvelle initiative baptisée Project Zero. Des programmes consacrés à ces failles existent déjà, comme le ZDI d’HP. Mais selon l’ingénieur sécurité de Google, Chris Evans, il y a ici une vraie différence.
's comment July 16, 2014 11:23 AM
Avec cela et ses bases de données, google se transforme en pirate potentiel.
|
