Découvrez tout ce qu’il faut savoir de l’actualité Sécurité de la semaine avec la newsletter Adacis !
Au menu:
L’actualité marquante
- Zimperium dévoile la faille critique Android Stagefright : une faille de type RCE (Remote Code Execution) qui peut être exploitée simplement en envoyant au téléphone sous Android 2.2 (mais également les versions plus récentes) un MMS spécialement forgé. A priori, sur certains périphériques, aucune action de l’utilisateur ne serait nécessaire ce qui la rend particulièrement propice à une propagation virale de masse.
Il existe toutefois des mécanismes permettant de se protéger comme par exemple la désactivation de la lecture automatique des MMS. Ce site explique comment faire sur l’application Hanghout ainsi que sur Google Messenger par ex.
- Sortie de Windows 10 le 29 juillet … ce qu’il faut savoir par Zdnet. Bon par contre, ils ont oublié de préciser que l’OS partage par défaut tous vos mots de passe Wifi avec vos contacts Facebook, Skype ou Outlook. Ou encore que Windows sauvegarde automatiquement les clés de recouvrement BitLocker sur OneDrive …
D’un autre côté, Windows 10 intègre plusieurs fonctionnalités intéressantes d’un point de sécurité, comme la systématisation des mises à jour ou encore Device Guard, Windows Hello et bien d’autres !
Les autres nouvelles
- HOT ! HORNET : Un système concurrent de ToR développé et plus performant ?
- HOT ! Des chercheurs parviennent à détourner un fusil sniper de sa cible
- Selon la Cour de Cassation, un email constitue une commande ferme
- Le retour de Darkode ! (déjà!)
- Treize sites de rencontre mis en demeure par la CNIL
- HOT ! Des chercheurs présenteront à la DefCon le 8 août comment casser la sécurité d’un coffre « Super-Secure » de la Brinks en … 1 minute
- HardenedBSD annonce une implémentation ASLR complète après avoir rendu pseudo-aléatoire le VDSO
- Stuxnet ! 5 ans déjà
- FAIL ! Phishing dans l’administration belge
- A Paris, 36,5% des réseaux WiFi sont accessibles sans mots de passe
- HOT ! Les USA reviennent en arrière sur Wassenaar
Patchs et vulnérabilités
- HOT ! Faille BIND CVE-2015-5477 dans Bind9 permettant un déni de service à distance, suite à la mauvaise gestion de requêtes TKEY
- Patch du CVE-2015-5154 pour Xen, évasion de machine virtuelle en utilisant l’émulateur CD-ROM
- Valve patch une vulnérabilité dans le renouvellement des mots de passe Steam
- HOT ! Vulnérabilité critique dans ToR
Outils et tutoriaux
- Challenges RingZer0_CTF
- Les vidéos de la conférence Infiltrate 2015 sont en ligne
- Docker en 100 lignes de bash
- Shodan On-Demand Scan
- Générateur de configuration automatique TLS pour Apache, Nginx etc.
- Man-In-The-Middle transparent avec Cuckoo
- Analyser une URL pour déterminer si elle est malveillante avec Thug (inclus dans Remnux)
