Adacis vous propose un résumé de l’actualité sécurité de la semaine dans sa newsletter !
Au menu:
L’actualité marquante de la semaine :
Une information qui a été largement reprise par l’ensemble des médias infirmait une vérité admise depuis longtemps. En effet, les mots de passe complexes ne seraient pas sécurisés. C’est ainsi qu’un expert en sécurité informatique nous explique qu’une analyse qu’il avait effectuée en 2003 serait erronée. Il expliquait à l’époque qu’un mot de passe complexe avec des caractères spéciaux serait plus robuste qu’un mot de passe avec des caractères simples. S’il est admis qu’un mot de passe complexe sera plus robuste pour une même longueur de caractères qu’un mot de place avec simplement des chiffres ou des lettres, il semble que factuellement ça ne soit pas aussi vrai.
Réfléchissons un instant, un mot de passe complexe serait compliqué à retenir. La tendance des utilisateurs serait donc de faire des mots de passe courts avec des caractères spéciaux. Mais les caractères spéciaux sont quasis toujours les mêmes utilisés et peu d’utilisateurs font des mots de passe complexes. L’expert nous explique donc qu’il est préférable d’utiliser des mots de passe longs avec un moyen mnémotechnique pour les retenir. Ainsi on augmenterait la sécurité desdits mots de passe.
Les nouvelles de la semaine :
- Les hackers aident les autorités à neutraliser des ransomwares ou des malwares. Les autorités arrêtent ceux qui les aident. Voilà de quoi ne pas favoriser l’aide d’expert technique. Il faut bien faire la distinction entre les personnes qui effectuent des piratages pour la performance technique sans rien détruire et en aidant les personnes vulnérables à se protéger et ceux qui ne veulent que détruire. Ne pas faire cette distinction risque de provoquer un renfermement de tous les experts en cybersécurité.
- Dans la même lignée que l’article précédent, SalesForce a licencié deux employés qui se sont exprimés à la Defcon. Lors de cette conférence les cadres auraient annoncé l’existence de MEATPISTOL qui est un outil de reconstitution de malware. Il s’agirait d’un « outil qui automatise les tâches ennuyeuses d’un projet de pen-testing ». Cet outil devait être publié comme un projet open-source. On ne connaît pas à l’heure actuelle les motifs du licenciement.
- Une attaque massive au Vénézuela a paralysé le réseau téléphonique principal du pays. Le ministre en charge de la technologie a expliqué qu’environ 7 à 13 millions d’utilisateurs se sont retrouvés sans service de communication. Plus largement c’est tout le pays qui a été touché depuis le lundi 7 août 2017, puisse qu’une dizaine de sites Internet publics ont été la cible d’attaques.
- Piratage d’une voiture connectée avec reconnaissance des panneaux. Un groupe de chercheurs s’est aperçu qu’en modifiant l’aspect de certains panneaux, il serait possible de modifier la compréhension du système sur l’image qui est vue.
Vulnérabilités et patchs de sécurité :
- Microsoft a fait une mise à jour dans son patch Tuesday qui concerne beaucoup de vulnérabilités critiques. Il y aurait environ 48 failles de corrigées dont 25 sont classées en faille critique. Selon les experts en sécurité la priorité de mise à jour concernerait la CVE-2017-8620. Faites chauffer la bande passante !
- Une nouvelle campagne d’espionnage aurait été détectée par Trend Micro, elle ciblerait la Russie. Apparemment cette campagne exploiterait la faille CVE-2017-0199. Le code de l’exploit téléchargerait un fichier XLS qui contiendrait un code JavaScript malicieux. Cela déclencherait une réaction en chaine expliquée avec détail dans l’article cité.
Les outils de sécurité :
- Souvent nous utilisons les mêmes mots de passe pour plusieurs sites internet. Il suffit alors qu’un seul site soit corrompu pour nous rendre vulnérable sur l’ensemble de nos comptes. Troy Hunt a crée un site internet permettant de déterminer si un nom de compte ou une adresse e-mail a été corrompu.
