CyberStratégie – CyberDéfense – CyberSécurité
Lettre Cyber 164
Alors, quoi de neuf dans l’actualité cyber du 8 au 14 janvier 2018 …
… le risque d″attaque du canal latéral d’exécution prédictive », les failles Spectre et Meltdown des processeurs Intel et autres ont occupé une large place dans l’information de la semaine.
Les explications sur ces failles, des explications techniques ou grand public, les alertes de diverses instances de veille informatique institutionnelles et privées, les mises à jour à faire, les mises à jour publiées, les mises à jour publiées puis … retirées pour cause de problèmes, les analyses et évaluations des conséquences des vulnérabilités et de leurs correction en terme de performance de traitement, la communication approximative des fondeurs sur le sujet, savaient, savaient pas ? Le silence des services de renseignement gouvernementaux, savaient, savaient pas ? Rien à manquer sur le sujet et, bien sûr, l’affaire est loin d’être terminée.
Et puis, pour entretenir, pour souligner, cette accentuation des menaces et des risques, la semaine a encore été marquée par la publication de diverses analyses, prédictives elles aussi, sur ce que l’on peut attendre, ce que l’on peut craindre en matière de cyber(in)sécurité pour 2018. Rien de bon, bien évidemment …
… l’aggravation de la cyberfraude et des cyber-escroqueries par l’intermédiaire de bots automatisés, les usurpations d’identité, le détournement de comptes … le développement de nouveaux outils non difficilement compatibles avec les anciens systèmes, et pas seulement, dans le secteur industriel, les objets connectés utilisés comme arme d’attaque, la désinformation, la manipulation de l’information, l’extension continue de l’exposition aux risques, des populations toujours plus connectées, de nouvelles catégories d’internautes vulnérables, des volumes toujours plus importants de données personnelles dérobées … bref, phishing, ransomwares, attaques par déni de services, vol d’informations, détournement de sites … la cyber-insécurité a un bel avenir … pour tout de suite.
Aussi, à tous, à chacun de faire ce qu’il faut pour parer les risques en se montrant vigilant et attentif au respect de ces quelques règles élémentaires de sécurité à la base de la protection de nos systèmes d’information professionnels, mais aussi … personnels, ne l’oublions pas.
Vous trouverez donc dans la lettre nombre d’articles sur les sujets évoqués dans cette intro, mais aussi, vous trouverez comme chaque semaine, beaucoup plus …
… faits, chroniques et opinions, référentiels, séquences audio, séquences vidéo … selon vos centres d’intérêt, personnels ou professionnels, je vous laisse découvrir l’actualité de la semaine, dans ces domaines essentiels que sont désormais … la CyberStratégie, la Cyberdéfense et la CyberSécurité … sans prétention à l’exhaustivité, bien évidemment.
Une bonne semaine à vous.
Sans oublier que je reste à l’écoute de vos commentaires et de vos observations guillet.lionel@gmail.com.
Je rappelle que la lettre est découpée en séquences sur la semaine avec reprise des rubriques utilisées pour chaque séquence. Sans être sûr d’y parvenir, le but est de classer quelque peu l’information si dense et si fournie qui nous est proposée.
Ce qui a retenu mon attention dans l’actualité de cette semaine
9 janvier 2018. Darty, un contrat de méfiance de la CNIL – La faille Meltdown et le droit – Un jour, il y aura des morts …
A(ré)couter – A (re)voir
- Le marché de la cybersécurité explose, sur France Inter dans le « zoom de la rédaction » de 8 janvier 2018
- Meltdown Spectre, les failles des processeurs au micro de l’équipe de Nolimitsecu cette semaine …
Informations
- Une étude dresse les enjeux, problèmes et dommages collatéraux de l’affaire MicroSoft Ireland
- La Maison Blanche bientôt dotée d’un service de renseignement privé ?
- La Poste lance un carnet de santé numérique, votre santé m’intéresse … votre sécurité aussi ?
- La Wi-FI Alliance annonce le protocole WPA3 et des améliorations pour WPA2
En management de la sécurité de l’Information
- Vers une nouvelle loi relative à la protection des données personnelles, analyse …
- Propriété intellectuelle et numérique : une approche pratique pour mieux maîtriser les réformes
- Pour ses 40 ans, la CNIL se paie Darty. C’est plutôt Darty qui doit payer, 100 000€ …
- Le tour des prédictions 2018 #infosec #cybersec
- Dysfonctionnement d’un logiciel : l’important, c’est la preuve (suite)
- Y a du sport au village des RSSI, une tribune de Cédric CARTAU
- Cyberrisques news : 25 prévisions pour 2018
- Prédictions Symantec : Que nous réserve 2018 en matière de cybersécurité ?
- Quelles cybermenaces en 2018 ? de Sabri KHEMISSA
- Une liste de ressources nationales de sécurité (en)
- La lettre de veille cyber N.163 est en ligne, un retour sur la semaine du 1er au 7 janvier 2018 … au sommaire, un cas d’école offert à la CNIL pour ses 40 ans, la base nationale d’identification biométrique des indiens, les failles de mémoires des processeurs, etc.
RGPD / GDPR. Le règlement européen sur la protection des données
- L’essentiel du RGPD modélisé sur le site sheo technology
- RGPD et cybersécurité : comment repenser sa stratégie
- Comment les consommateurs vont-ils utiliser le RGPD
- Le RGPD et ses conséquences pour la Suisse
- Tout savoir sur le RGPD (4/10) les relations entre les parties prenantes au(x) traitement(s)
Les problématiques des (r)évolutions numériques en cours
- Fichés sur internet, les chinois peuvent-ils faire leur cyber-révolution ?
- Les grandes entreprises du net veulent défendre la neutralité du Net devant les tribunaux
- Apple visé par une enquête préliminaire pour « tromperie et obsolescence programmée »
- Objets connectés : l’UFC assigne la FNAC et Amazon pour manque d’information
- Bruxelles exige plus d’efforts des géants du net contre la haine en ligne
- L’avalanche des cyber risques
Des nouvelles du CyberFront
- Cyber sécurité : de fausses connexions via FaceBook pour voler les mots de passe
- Le système informatique du ministère de l’intérieur tunisien est inviolable de l’extérieur, c’est ce qu’a affirmé le ministre …
- Cybersécurité : Africtivistes va former 500 acteurs du web en Afrique de l’Ouest
- Les JO de Pyeongchang déjà la cible de cyberpirates
- Les trous de mémoires dans les microprocesseurs Intel et autres …
- Alerte : multiples vulnérabilités dans des processeurs – Comprendre Meltdown et Spectre et leur impact, un communiqué de l’ANSSI
- Vulnérabilités d’exécution spéculative dans les microprocesseurs, nouveau bulletin d’alerte du CERT-FR
- Meltdown et Spectre : les vulnérabilités critiques des processeurs, le bulletin de l’Agence européenne pour la sécurité de l’Information et des réseaux (en)
- Vulnérabilités Meltdown/Spectre affectant les CPU x86-64 : OVH pleinement mobilisé, un communiqué de l’hébergeur OVH
- Vulnérabilité Spectre : Google publie une nouvelle technique de mitigation …
- Faille Meltdown dans les processeurs Intel : ce que dit la loi
- On nous cache tout, etc (une brève réflexion historique à propos de Meltdown et Spectre), un article de Jérôme SAIZ
- Le Spectre tient en alerte la cybersécurité suisse
- La NSA est catégorique ; elle ne connaissait pas les failles Meltdown et Spectre dans les processeurs Intel
- AMD pourrait vendre plus de CPU serveurs dédiés au cloud computing …
- Se protéger face à Meltdown / Spectre, le dossier du MagIT
- Meltdown/Spectre : le cauchemar de la mise à jour
- MicroSoft suspend les mises à jour pour les processeurs AMD
- Windows : vous n’avez pas reçu les mises à jour de sécurité contre la vulnérabilité Meltdown. MicroSoft donne des explications
- Failles informatiques : « Un jour, il y aura des morts », une interview d’Hervé SCHAUER
- Entretien avec Henry BILLAUDEL, Chef du département Opérations, au sein de la direction Sûreté du Groupe Total
- Décryptage de l’attaque « Golden SAML » de CyberArk
- Une nouvelle livraison de « liens de sécurité » du site Wawaseb , la livraison 212
- Soldes – Risques accrus de cyberescroqueries, sur le site cybermalveillance.gouv
Matière à réflexions
Études, enquêtes et référentiels
- Cybersécurité et régulation internationale : quel forum après l’échec du CGE (Group of Government Experts) de l’ONU, dans la Revue de la Gendarmerie nationale du 4ème trimestre 2017 HyperConnexion et Résilience
Séminaires – Conférences – journées …
- LE FIC 2018 au cœur de l’hyperconnexion, une interview du général Marc WATIN-AUGOUARD
12 janvier 2018. Vie personnelle en mode démonté chez Ikea – Les risques d’attaques du canal latéral d’exécution spéculative, Meltdown et Spectre …
A(ré)couter – A (re)voir
- [SECHebdo] 9 janvier 2018, Meltdown et spectre, WPA3, autocomplémentation des navigateurs … la cyber-actualité par le Comptoir Sécu
Informations
- Appliquez les bonnes pratiques pour votre site web
- Ne dites plus « smartphone » mais « mobile multifonction »
- Vocabulaire des télécommunications au journal officiel du 11 janvier 2018
En management de la sécurité de l’Information
- Attaque par déni de service contre EDF : condamnation pour entente, un arrêt de la Cour de cassation …
- Sans maîtrise de la donnée, l’intelligence artificielle n’est rien
- Quelles tendances liées à la sécurité des données occuperont « la une » en 2018 ? par Marc JACOB
- Cybersécurité : les cinq faits marquants de 2017
- Cybersécurité, la dure réalité
- La CNIL recrute son chef de service de la santé … et plus Offres d’emploi et stages
- En quoi WPA3 va renforcer la sécurité de nos réseaux Wifi ?
- La news letter cybersécurité semaines 52-01, la cyber-veille du Cabinet Adacis …
RGPD / GDPR. Le règlement européen sur la protection des données
- RGPD : Transformer une contrainte en opportunité, une vidéo BFMTV
- Innovation dans le secteur social-logement un pack de conformité RGPD pour les produits et services de la silver économie, le communiqué de la CNIL …
- Comment la norme ISO #27001 peut vous aider sur le #RGPD
- Repensez votre culture d’entreprise en prévision du RGPD
- RGPD, quelles conséquences pour les collectivités ? une interview de Sophie NERBONNE, directrice de la conformité à la CNIL
- Comprendre (enfin) le règlement européen sur la protection des données
Les problématiques des (r)évolutions numériques en cours
- La cybersécurité courtise les femmes pour recruter les profils qui lui manquent
- Comment fonctionne le partenariat entre « Le Monde » et FaceBook sur les fausses nouvelles
Des nouvelles du CyberFront
- Le commandement de cyberdéfense met ThreatQ au service de ses analystes
- Meltdown / Spectre : « Les attaques du canal latéral d’exécution spéculative », rien que le titre …
- Scandale technologique ou fatalité ? Une tribune de ch. CUVELLIEZ et de JJ QUISQUATER
- Les faille Meltdown et Spectre. Risques majeurs par le matériel, un article de Laurent BLOCH
- Les vulnérabilités critiques de Meltdown et Spectre, une alerte sécurité du CERT-EU, le centre de veille et d’alerte informatique européen [pdf] (en)
- Explication technique des 3 failles de sécurité et des mesures correctives (pour un public averti), un communiqué de l’hébergeur OVH
- Attaques meltdown et Spectre, explication pour le grand public …
- L’incertaine mise à jour des microprocesseurs
- 16 patches Microsoft critiques et 1 patch Adobe
- Le point sur les travaux à réaliser pour lutter contre Meltdown et Spectre
- Une opportunité en or pour les pirates de cartes bancaires ?
- Le créateur de Linux tacle fortement Intel
- Intel réorganise sa ressource humaine. La firme met un groupe dédié qualité et sécurité en place
- Des failles dans des millions de processeurs Intel … mais, êtes-vous concerné ? un article publié sur 01Net.com du … 23 novembre 2017
- L’Agence nationale de la sécurité des systèmes d’information s’engage à l’internationale, coopérer avec nos partenaires et élever le niveau général de cybersécurité, le communiqué de l’ANSSI …
- Soupçons de brèche dans le mégafichier d’identité indien : le gouvernement contre-attaque
- Corée du Nord : « Une cyber-armée capable de mener des attaques meurtrières »
- Le FBI insiste : le chiffrement est un « problème majeur de sécurité publique » L’agence demande à nouveau des backdoors pour les forces de l’ordre
- Espionnage chez IKEA France : le parquet requiert le renvoi en correctionnel de l’enseigne
- Piratage du protocole BGP : le trafic redirigé vers la Russie
- Pirater les données biométriques, empreintes, voix, visage, iris et séquençage ADN, plus facile qu’il n’y paraît ?
- WhatsApp : des chercheurs découvrent un défaut de sécurité dans les discussions de groupe
- Les cyber-espions russes ont réussi quelques hacks audacieux ces jours-ci (en)
Matière à réflexions
- Des crypto-euros pour sortir le bitcoin de sa bulle, un article de Ch. CUVELLIEZ et JJ QUISQUATER
- La gestion du temps au cœur du challenge de la sécurité numérique pour 2018
- Digital ou numérique, la fin d’une polémique ?
Études, enquêtes et référentiels
Séminaires – Conférences – journées …
- Hack-IT-N 2018, une journée cybersécurité le 25 janvier 2018 à Pessac, Bordeaux-Métropole
- Intelligence économique : l’art de la guerre digitale, une matinale organisée par le CCi Paris et l’Institut des hautes études de défense nationale (IHEDN) le 6 février 2018
- La cybersécurité des systèmes industriels et urbains, la 1ère édition des SCADAYS le 8 février 2018 à Lyon …
14 janvier 2018. Détection des incidents de sécurité, le référentiel ANSSI des prestataires est disponible – Pirater votre ordi portable ? donnez-moi 30 secondes …
A(ré)couter – A (re)voir
- La diminution du niveau des ondes wifi dans les « savanturiers sur France Inter
Informations
- Soutenez SecNumAcadémie à l’occasion du concours « MOOC of the year » … la fin des votes le 19 janvier, non pas le 14 comme indiqué sur le site de l’ANSSI
- Le Conseil constitutionnel censure à nouveau la loi sur l’état d’urgence
En management de la sécurité de l’Information
- Le nouveau référentiel pour les prestataires de détection des incidents de sécurité (PDIS) est maintenant disponible sur le site de l’Agence nationale pour la sécurité des systèmes d’information (ANSSI)
- Lancement du club PDIS (Prestataires de détection d’incidents de sécurité) / LPM
- Gestion des vulnérabilités : agir avant qu’il ne soit trop tard
- La recherche d’information au cœur de l’intelligence économique : bien choisir ses outils de veille
- L’avalanche des cyberattaques en 2017 nous fait craindre cette nouvelle année
- 10 prédictions qui pourront mener le marché du cybercrime à 6 000 milliards de $
- Microsoft corrige 56 failles de sécurité en janvier
- Mise à jour mensuelle de MicroSoft au sommaire du Bulletin d’actualité du CERT-FR, le Centre de veille et d’alerte informatique gouvernemental
- La Commission européenne souligne les conséquences du Brexit sur les transferts de données
- Identification des spécifications techniques des TIC pouvant servir de référence dans la passation des marchés publics, une décision de la Commission européenne …
- Une copie d’examen est une donnée personnelle
- Refus de remise de la convention secrète de déchiffrement d’un moyen de cryptologie, sujet d’une question prioritaire de constitutionnalité …
- 2017 : l’offre de cloud public et de cloud hybride s’est considérablement étoffée en France
- Cyber-risques : les entreprises ont intérêt à assurer !
- Professionnels de santé : Pourquoi utiliser une messagerie 100% « espace de confiance » ?
- Vous chercher un métier d’avenir ? Devenez risk manager
RGPD / GDPR. Le règlement européen sur la protection des données
- Le RGPD appliqué au marketing, c’est pourtant simple (quand on prend le temps)
- L’heure des bonnes résolutions tourne …
Les problématiques des (r)évolutions numériques en cours
- Le FBI, privé de preuves numériques à cause de l’essor du chiffrement
- Et si on récupérait le contrôle de ses données
- Le président de l’Assemblée veut inscrire la neutralité du Net dans la Constitution
- Kimetrak : notre projet pour détecter les sites qui multiplient les services de pistage
- La neutralité du Net dans la Constitution ? « Ce serait une sage décision »
- L’Europe dévoile sa liste d’experts devant trouver des solutions à la désinformation
- Les indigènes du numérique, qui sont-ils …
- CrossCheck : les élections présidentielles françaises à l’abri des fake news
- Mégafichier : le recours en annulation de GenerationLibre suit son cours
- Protection des données ; la Chine réprimande ses géants du web
- Le boom de la vidéosurveillance « made in china » inquiète le monde
Des nouvelles du CyberFront
- Les hackers pourraient faire exploser des usines en utilisant des applications mobiles
- Rapport : les cyberattaques risquent de déclencher un conflit nucléaire, sur SputnikNews …
- Meltdown et Spectre
- Alerte 18-011-01 Vulnérabilité Meltdown et Spectre émise par le CERT-ICS (en)
- Pallier les failles Spectre et Meltdown : quel impact sur les performances ?
- Les failles de sécurité les plus polluantes de l’histoire ?
- Failles CPU : comment vérifier le degré de protection de votre PC Windows 10
- La sécurité des processeurs AMD selon AMD …
- Des patchs aussi pour Ubuntu, mais …
- Explication de ces vulnérabilités matérielles, une vidéo didactique sur YouTube
- Les puces neuromorphiques pourraient être l’avenir de l’informatique
- Une vulnérabilité Intel AMT permet aux pirates de contourner les identifiants de connexion de presque n’importe quel ordinateur portable professionnel
- Vol de données bancaires : alerte à la fausse application Allo Resto Premium
- Publication de la loi créant l’autorité belge de protection des données
- Sécurité : une faille dans WhatsApp permet d’espionner les conversations de groupe. D’autres applications de messagerie sont affectées
- Les 6 plus grandes cyberattaques contre l’industrie énergétique
- Engagez-moi ou je vous pirate
- Pourquoi faut-il se méfier des gestionnaires de mots de passe de vos navigateurs
- Zealot : des codes pirates de la NSA utilisés pour installer des mineurs de cryptomonnaies
- Les malwares sélectifs, nouvelle arme cyber ?
- USA : la Chambre de représentants vote pour renouveler le programme de surveillance d’internet de la NSA
- Une nouvelle livraison de « liens de sécurité » du site Wawaseb , la livraison 213
- La Chine ne fermera pas la porte à l’internet mondial selon le président chinois (en)
- La CIA conclut, les militaires russes derrière la cyberattaque NotPetya en Ukraine, selon le Washington Post (en)
Matière à réflexions
- La Poste au CES de Las Vegas avec notamment son « coffre-fort numérique pour données médicales », quand données santé rime avec sécurité …
- FaceBook, les médias et l’effet papillon permanent
- Puissance des bits, panne algorithmique, à partir d’un ouvrage de Gérard BERRY
- Le numérique sans les femmes : ni envisageable … ni acceptable !
- Pourquoi la vente de nos données personnelles (contre un plat de lentilles) est une très mauvaise idée
Études, enquêtes et référentiels
Séminaires – Conférences – journées …
- Entrepreneurs et professionnels français du numérique embarquez pour la semaine numérique de Québec 2018, du 8 au 14 avril 2018 à Montréal
À votre disposition pour recueillir vos observations, suggestions et commentaires sur cette information guillet.lionel@gmail.com
