Adacis vous souhaite de bonnes fêtes de fin d’année et vous propose les actualités Sécurité de la semaine dans sa newsletter !
Au menu:
L’actualité marquante
- La Cour de Justice de l’Union Européenne s’oppose à la conservation généralisée des données par les FAI. L’arrêté du 21 décembre fait opposition à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation. Cependant, il est à l’appréciation de chaque état de prévoir à titre préventif, une conservation ciblée de ces données afin de lutter contre la criminalité grave. Le communiqué de presse de l’arrêté se trouve ici.
- ESCloud, le label commun entre la France et l’Allemagne concernant la sécurité du « cloud computing ». C’est de la coopération entre l’ANSSi et son homologue allemand le BSI (Bundesamt für Sicherheit in der Informationstechnikle), que naît ce nouveau label pour les prestataires de services de « Cloud Computing ». ESCloud s’appuie sur des règles techniques et organisationnelles visant à garantir le niveau de sécurité des solutions labélisées, le traitement et le stockage des données sur le territoire européen. Son principal rôle est de promouvoir l’émergence de solutions de confiance au sein de l’espace européen.
Les autres nouvelles
- Le ransomware bancaire Android nommé Fatetoken peut dérober des identifiants de connexion et des informations financières en plus d’encrypter les fichiers présents sur la carte SD du téléphone.
- Les victimes du ransomware CryptXXX peuvent maintenant utiliser un outil pour décrypter leurs fichiers infectés.
- Le test de la technologie Blockchain par BNP Paribas pour des virements internationaux. Depuis déjà quelques années, BNP Paribas effectue des tests avec l’utilisation du Blockchain à l’aide d’ un système démonstrateur nommé « Legacy ». L’idée d’utiliser cette technologie est venue naturellement lorsqu’il s’agissait de transactions interbancaires internationales.
- Une campagne de fraude publicitaire découverte par White Ops. Baptisée Methbot, cette structure génère quotidiennement de 3 à 5 millions de dollars de recettes frauduleuses via des annonces vidéos et des sites web falsifiés.
- Une attaque cybernétique contre le gouvernement ukrainien et la compagnie Ukrenergo. Cette attaque pourrait être à l’origine d’une panne générale électrique dans la ville de Kiev et des régions voisines.
- La société de sécurité Wordfence avertit la communauté WordPress de l’augmentation considérable des attaques par brute force au cours de ces trois dernières semaines.
Patchs et vulnérabilités
- CVE-2016-7456 : Correction de deux failles critiques dans les produits VMWare vSphere Data Protection et EXSi. L’éditeur vient de livrer deux mises à jour de sécurité pour modifier une clé SSH codée en dur.
- CWE-264 : Une vulnérabilité présente dans Google Chrome permettant l’escalade de privilèges dans le navigateur Web si la fonctionnalité « Sync » est activée.
- CVE-2016-9192 : Vulnérabilité dans Cisco AnyConnect Secure Mobility Client pour Windows qui autorise un attaquant à installer et exécuter un fichier exécutable avec les privilèges équivalent à un compte système de Microsoft.
- Linux / Rakos : Un nouveau malware dangereux ciblant les périphériques grand public et les serveurs.
Outils et tutoriels
- Le projet de recherche Wycheproof mis en place par Google propose plus de 80 tests à la disposition des développeurs pour tester leurs bibliothèques de chiffrement.
- Machine Learning : Un regroupement d’informations, d’outils et de ressources liés à l’utilisation de l’apprentissage automatique pour la cybersécurité.
- Le Mobile Security Testing Guide (MSTG) est un manuel pour tester la sécurité des applications mobiles en lien direct avec la norme de vérification OWASP.
- Pentest-Wiki : Une bibliothèque regroupant diverses méthodes d’intrusions destinées aux chercheurs en sécurité et des liens vers les principales conférences afférentes à la sécurité informatique.
- OWASP NodeGoat Project : Ce projet est une ressource d’apprentissage démontrant comment les risques OWASP Top 10 de sécurité s’appliquent aux applications développées en Node.js et comment les résoudre rapidement.


