ARCSI
Association des Réservistes du Chiffre et de la Sécurité de l'Information

Actualités du domaine


14 octobre2019
 Que font les algorithmes de recommandation qui dirigent nos choix sur Internet ?
Les algorithmes de recommandation proposent un contenu ciblé et personnalisé à l'internaute, au travers de la collecte de ses données personnelles. Toutes les plateformes utilisées au quotidien en sont dotées, qu'il s'agisse de Google, Amazon ou encore Spotify. Ces algorithmes varient cependant selon les contraintes et objectifs propres à chaque plateforme et appartiennent à différentes familles.

Pour en savoir plus, voir l'article de 20minutes.fr.
10 octobre2019
 Kaspersky découvre un malware capable de décrypter des données chiffrées avec le protocole TLS
Kaspersky vient de découvrir un malware nommé "Reductor". Ce logiciel malveillant se distingue des autres par sa capacité à décrypter les données sécurisées via le protocole de chiffrement TLS sur le web. Il aurait été développé par le groupe de hackers russes Turla focalisé sur les opérations d’espionnage.

Pour en savoir plus, voir l'article de lebigdata.fr.
8 octobre2019
 Un "hacker éthique" se venge d'un groupe de cybercriminels en publiant les clés de décryptage de leur rançongiciel
Victime d'un rançongiciel appartenant au groupe de cybercriminels appelé "The Mushtik gang", un "hacker éthique" a payé pour récupérer la clé de décryptage. Mais il a ensuite analysé le rançongiciel, lui permettant d'accéder à une base de données contenant 2858 clés de décryptage du rançongiciel. Il les a par la suite publiées, et mis à disposition un outil de décryptage du rançongiciel muhstik.

Pour en savoir plus, voir l'article de Zdnet.com.
7 octobre2019
 Une nouvelle attaque permet de récupérer les clés privées de bibliothèques cryptographiques
Google milite pour une généralisation du protocole de chiffrement HTTPS, qui apporte une bien meilleure sécurité pour les internautes que le simple protocole HTTP. Aussi, il a décidé de bloquer dès l'année prochaine, via son navigateur Chrome - le plus utilisé au monde -, tous les contenus non chiffrés dans les sites HTTPS (images, vidéos, iframes, scripts, etc.).

Pour en savoir plus, voir le site de Google.
7 octobre2019
 A partir de l’année prochaine, Chrome va bloquer tous les contenus non chiffrés des sites web HTTPS
Google milite pour une généralisation du protocole de chiffrement HTTPS, qui apporte une bien meilleure sécurité pour les internautes que le simple protocole HTTP. Aussi, il a décidé de bloquer dès l'année prochaine, via son navigateur Chrome - le plus utilisé au monde -, tous les contenus non chiffrés dans les sites HTTPS (images, vidéos, iframes, scripts, etc.).

Pour en savoir plus, voir le site de Google.
7 octobre2019
 Kaspersky explique comment peut se passer le piratage de la carte SIM de votre téléphone via SIMJacker
C'est dans l'outil de gestion de la carte SIM que se situe la faille, et plus particulièrement dans l'une de ses applications, S@T Browser. Elle n’a pas été mise à jour depuis 2009, et bien que dans les appareils modernes ses fonctions soient exécutées par d’autres programmes, S@T Browser est toujours activement utilisée par près d'un milliard de téléphones, dans pas moins de 30 pays.

Pour en savoir plus, voir l'explication de Kaspersky.
6 octobre2019
 Conférence "Vol de données et ransomware, pourquoi et comment négocier avec un hacker?" organisée par le Cercle d'Intelligence économique du Medef IdF
Dans le cadre des ¨Lundi de la cybersécurité¨, qui se tiennent désormais à l'Université Paris Descartes (Paris V), venez assister le 21 octobre prochain à la conférence animée par Gérard Peliks et tenue par Olivier Hérisson, consultant en sécurité numérique et formé aux techniques de négociations complexes.

Conférence à 18H30, Participation gratuite mais inscription obligatoire.
Lieu : Université Paris Descartes (Paris V) - 45 Rue des Saints-Pères, 75006 Paris / amphi BINET (en entrant à gauche).

Voir Lundis de la cybersécurité
5 octobre2019
 Kaspersky met à jour son outil RakhniDecryptor pour récupérer les fichiers cryptés par les ransomwares Yatron et FortuneCrypt
Kaspersky a mis à jour son outil RakhniDecryptor pour permettre aux utilisateurs dont des fichiers ont été cryptés par les ransomwares Yatron et FortuneCrypt de récupérer leurs données sans payer de rançon. Cette mise à jour est disponible sur le site web "nomoreransom". Ce projet a été lancé conjointement par la police nationale des Pays-Bas, Europol, McAfee et Kaspersky en 2016. Il consiste à faire coopérer des experts en cybersécurité et des forces de l’ordre afin de mettre en commun des solutions pour mettre fin au fléau du ransomware.

Pour en savoir plus, voir l'article de "Global Security Mag".
L'adresse du site "nomoreransom" en français est ici.
3 octobre2019
 À l'Ecole des Transmissions de Rennes, l'ARCSI rend visite au Général Ravier, commandant les SIC des Forces terrestres


Bernard Barbier, Jon Paul et les Généraux Jacques Aubert et Jean-Louis Desvignes, tous membres éminents de l'ARCSI, ont rencontré le 3 octobre le Général Ravier commandant les SIC des Forces terrestres, très au fait des questions CYBER et de la SSI, accompagné par le capitaine Ariane Pinauldt, conservatrice du Musée des Transmissions, le Directeur du musée et le président de l’AMTAT.
L'occasion de faire le point sur les relations entre l'ARCSI et le Musée, et de visiter le très riche fonds de machines de notre Association.

En voici quelques exemples :

3 octobre2019
 Florence Parly, ministre de Armées, inaugure le nouveau centre du commandement de cyberdéfense à Rennes

Quelques extraits de son discours :

[…]
"La cyberdéfense est une priorité absolue du ministère des Armées. Nous investissons beaucoup, nous recrutons à un rythme soutenu, nous consolidons nos pôles d’expertise dans les armées, à la DGA et à la DGSE avec l’ambition de donner à la France les moyens de construire une cyberdéfense à la hauteur de ses ambitions opérationnelles et de faire de la France un acteur incontournable de la cybersécurité. Et c'est ici à Rennes que se concrétise une grande partie des efforts qui est réalisée pour bâtir notre cyberdéfense.
[…]
Je suis très heureuse d’inaugurer à Rennes le premier bâtiment entièrement dédié à la conduite des opérations cyber.
 

Ce bâtiment, nous avons choisi de le baptiser en hommage au commandant Roger Baudouin, l’un des premiers et des meilleurs cryptographes de l’armée française, celui qui a formé Alan Turing à la cryptologie. Ce même Alan Turing, qui déchiffra la machine Enigma [en photo, une machine prêtée par l'ARCSI pour l'évènement], conférant ainsi aux Alliés un avantage considérable durant la Seconde Guerre mondiale. Je porte l’espoir que l’histoire du commandant Baudoin inspire nos cybercombattants et toutes les personnes qui entreront dans ce bâtiment, temple de la cyberdéfense."
[…]

Pour en savoir plus, lire le discours complet.
2 octobre2019
 Des chercheurs démontrent une vulnérabilité dans le chiffrement de PDF par de nombreux logiciels de visualisation
Appelée "PDFex", l'attaque a été testée sur vingt-sept visionneuses de PDF, tel qu'Adobe Acrobat, Foxit Reader, Evince Nitro ou celles de Chrome et Firefox. Toutes les fonctionnalités de chiffrement de ces outils s'avèrent vulnérables. Une première variante de l'attaque consiste à mélanger des textes en clair avec le texte chiffré d'un fichier PDF, la seconde consistant à utiliser le CBC, ou chaîne de bloc de chiffrement, afin de créer des parties de texte chiffré sans contrôle d'intégrité sur le PDF.

Pour en savoir plus, voir le Rapport de l'équipe de recherche... au format... pdf !
29 septembre2019
 La nouvelle version 3 du protocole HTTP commence à faire son chemin dans divers systèmes, en intégrant le support du chiffrement TLS par défaut
Il s'agit d'une réécriture complète du protocole HTTP qui utilise le protocole QUIC au lieu du protocole TCP, rendant le chargement des sites Web plus rapide et avec des connexions chiffrées par défaut. Cloudflare, Google Chrome et Firefox ont d'ores et déjà ajouté le support HTTP/3. Mais il n'est cependant utilisé pour l'instant que par 3% de tous les sites Internet.

Pour en savoir plus, voir l'article de zdnet.fr.
28 septembre2019
 une faille rendrait définitivement vulnérables tous les modèles d’iPhone jusqu'à l'iPhone X
Un chercheur en sécurité informatique a découvert un exploit de type "bootrom" sur iOS, c'est-à-dire qu’il tire parti d’une faille de sécurité dans le code stocké dans la mémoire en lecture seule que les périphériques iOS chargent au démarrage du système. Il s’agirait de la première publication d’un exploit de ce type pour un périphérique iOS depuis l’iPhone 4. Il aurait été publié à destination des développeurs pour qu'ils étudient des fonctions critiques d'iOS.

Pour en savoir plus, voir en particulier l'article de phonandroid.com ou celui de frandroid.com.
27 septembre2019
 Le Commissaire européen chargé de l'Union de la sécurité réagit à la décision de Facebook de chiffrer Messenger
Le chiffrement sur internet protège notre vie privée mais aussi les cybercriminels. Aussi inoffensif qu’il puisse sembler, explique Julian King, un service de messagerie tel que WhatsApp ou Facebook Messenger peut être utilisé abusivement pour servir des intentions malveillantes. "Nous devons faciliter le travail des services répressifs. Mais il nous faut aussi prendre en compte le rôle essentiel que joue le chiffrement dans la cybersécurité et dans la protection des données personnelles".

Pour en savoir plus, voir en particulier l'article du huffingtonpost.fr.
26 septembre2019
 L'Université américaine de Princeton a développé des algorithmes à même de protéger les réseaux électriques contre les cyberattaques
"La nature cyber-physique du réseau en fait une menace qu’il faut à tout prix éliminer, car une coupure de courant de grande échelle pourrait avoir des conséquences critiques", a précisé Prateek Mittal, professeur associé de génie électrique et l’un des auteurs de l’étude publiée dans la revue scientifique de l'IEEE. "L'un des algorithmes permet par exemple d’ajuster automatiquement l’énergie sortant des installations, un autre servant à rétablir le courant de manière plus rapide après une panne".

Pour en savoir plus, voir l'usine-digitale.fr.
24 septembre2019
 Le "Crypto Museum" des Pays-Bas organise du 3 au 16 novembre la 3e édition de son évènement "secret communication"
Le "Crypto Museum" des Pays-Bas est un musée virtuel, uniquement accessible sur internet. Son principal objectif est de faire perdurer le côté historique des machines de chiffrement. La 3e édition de son évènement "secret communication" est en partenariat avec la fondation "Foundation for German Communication" d'Arthur Bauer de Duivendrecht, également aux Pays-Bas. Quelques visites physiques sont organisées à la Fondation certains samedis de novembre 2019 à janvier 2020.

Pour consulter le site internet du "Crypto Museum", voir ici.
Et la page de l'évènement "secret communication", voir .
Enfin, pour le site internet de la "Foundation for German Communication", voir ici.
23 septembre2019
 Le géant informatique américain Google prétend avoir atteint la "suprématie quantique"
Le géant informatique américain Google prétend avoir franchi une étape importante désignée sous le nom de "suprématie quantique" en fabriquant une machine aux capacités bien supérieures à celles des ordinateurs classiques les plus puissants. Dans un article brièvement publié sur le site de la Nasa avant d'en être retiré, ses chercheurs auraient affirmé que leur processeur est capable de mener une opération en trois minutes et vingt secondes là où il faudrait 10.000 ans au plus avancé des ordinateurs actuels.

Pour en savoir plus, voir l'article du figaro.fr.
19 septembre2019
 L'exposition "Top secret: from cyphers to cyber security" s'ouvre au "Science Museum" de Londres
Depuis les tranchées de la Première Guerre mondiale jusqu’à la guerre de la cybersécurité, l'exposition "Top Secret" explore plus de 100 ans de renseignements en matière de communication, grâce à des documents manuscrits, des fichiers déclassifiés et des objets inédits provenant des collections historiques du Science Museum Group et du GCHQ, les fameux services de renseignements britanniques. On y découvrira en particulier l’histoire d’Alan Turing et de l’équipe de pionniers de Bletchley Park.

Pour en savoir plus, voir le site de l'exposition.
Voir également l'interview de Elizabeth Bruton, du London Science Museum, ici.
17 septembre2019
 Le numéro 48 de "Global Security Mag" désormais téléchargeable en pdf par les adhérents de l'ARCSI
La version pdf du numéro 48 de "Global Security Mag" "Sécurité et Privacy by Design" est désormais téléchargeable par les adhérents depuis la partie privée du site. On y trouvera des contributions de plusieurs membres de l'ARCSI, Marc Brami, Emmanuelle Lamandé et Hervé Schauer.

Pour en savoir plus, voici le lien d'accès au site privé.
16 septembre2019
 Des PDG américains réclament une loi fédérale sur la confidentialité des données
51 dirigeants américains, dont ceux d'Amazon, ATT, Dell, IBM, Qualcomm, SAP, Visa ou encore Mastercard, ont adressé une lettre ouverte aux membres du Congrès américain, leur demandant une loi fédérale sur la confidentialité des données des utilisateurs. Ceci afin de remplacer le nombre croissant de lois sur la protection des données personnelles en vigueur dans les différents États américains, simplifiant ainsi la conception, la conformité et la gestion des données.

Pour en savoir plus, lire l'article de zdnet.fr.
13 septembre2019
 Solange Ghernaouti, membre de l'ARCSI, publie la 6e édition de son livre "Cybersécurité"
Le but de cet ouvrage est de fournir une vision globale des problématiques de sécurité et de criminalité informatique. En montrant que les technologies de l'information présentent des failles susceptibles d'être exploitées à des fins criminelles, il explique les enjeux d'une maîtrise rigoureuse et méthodique de la sécurité des systèmes et des réseaux de communication.

Pour en savoir plus, voir la librairie Dunod.
10 septembre2019
 le problème mathématique des trois cubes pour le nombre 42 enfin résolu
Tout nombre entier peut-il s'exprimer comme la somme de trois entiers relatifs élevés au cube, tel est le problème des trois cubes énoncé en 1954. Pour les nombres inférieurs à 100, seuls k=33 et 42 n'avaient pas trouvé de solution. Au début de cette année, l'université de Bristol (Royaume-Uni) a résolu l'énigme pour k=33 en s'appuyant sur des semaines de temps de calcul d'un supercalculateur. Et elle vient de récidiver pour k=42 en s'appuyant sur la puissance de calcul inutilisée de plus de 500.000 PC. Une solution qui a nécessité plus d'un million d'heures de calcul.

Pour en savoir plus, lire l'article de futura-sciences.com.
6 septembre2019
 la FINMA, gendarme financier suisse, donne le go aux "crypto-banques" en accordant deux licences à SEBA et Sygnum pour transférer des tokens
Le front des régulateurs bancaires européens face au cryptomonnaies se brise. Les "crypto-banques" suisses accréditées pourront désormais stocker et gérer des "bitcoins" et des "ethers", et convertir des francs suisses, des euros ou des dollars dans ces deux cryptomonnaies. Mais affectée par les scandales de blanchiment, la terre d'élection du secret bancaire a néanmoins posé des garde-fous aux deux nouveaux élus. Ainsi, les transferts de tokens (jetons numériques) seront autorisés uniquement entre personnes identifiées par la banque.

Pour en savoir plus, lire l'article des Echos.fr.
4 septembre2019
 l'Office parlementaire d'évaluation des choix scientifiques et technologiques publie une note sur les cryptographies quantique et post-quantique
Face à la menace de l’ordinateur quantique vis-à-vis des algorithmes actuels de sécurisation des données, les cryptographies quantique et post-quantique demandent de l’anticipation et des améliorations à la hauteur des enjeux, notamment la sécurisation quasi-parfaite des données et des communications avec une qualité au moins équivalente à celle d’aujourd’hui. Les deux axes de transition demanderont encore des années de R&D, mais cette évolution, inévitable, requiert des choix stratégiques pour les États, dès maintenant.

Pour en savoir plus et lire la note, c'est ici.
2 septembre2019
 Dune, un nouveau protocole blockchain, verra le jour début septembre en France. Plusieurs investisseurs chevronnés font partie du tour de table
Cette plateforme est conçue dans le but de développer des applications décentralisées et se présente comme un concurrent d’Ethereum, le deuxième protocole du secteur derrière Bitcoin. Le projet est développé par la start-up française Origin Lab. Soutenu par le fonds franco-américain Starchain Capital, il regroupe d’autres investisseurs, dont Marc Simoncini, Jean-David Blanc ou encore Xavier Niel.

Pour en savoir plus, voir capital.fr.
30 août2019
 La défense collective dorénavant applicable en cas de cyberattaque visant l'un des membres de l'OTAN
Le secrétaire général de l'OTAN Jens Stoltenberg a indiqué qu'un incident pourrait déclencher une défense collective de l'Organisation, comme décrite dans l'article 5 du traité fondateur. L'OTAN a en effet désigné le cyberespace comme l'un de ses domaines de compétence. Il reste cependant de nombreuses interrogations concernant l'adaptation de cet article au cyberespace puisque se pose souvent la question de la responsabilité d'un pays ou d'un groupe affilié à ce pays.

Pour en savoir plus, voir (en anglais) prospectmagazine.co.uk.
29 août2019
 Plusieurs attaques exploitent actuellement les vulnérabilités de produits de réseaux privés virtuels (VPN)
Des acteurs malveillants lancent des attaques visant à voler les clés de chiffrement, mot de passe et autres données sensibles stockées sur les serveurs de deux réseaux privés virtuels non mis à jour. Il s'agit des Fortigate SSL VPN (environ 480.000 serveurs) et Pulse Secure SSL VPN (environ 50.000 machines). Ces vulnérabilités ont été explicitées à l'occasion de la conférence Black Hat d'août 2019.

Pour en savoir plus, voir (en anglais) arstechnica.com.
28 août2019
 D'après Microsoft, l'utilisation de l'authentification multifacteur bloque 99,9% des piratages de comptes
Selon Alex Weinert de Microsoft, les utilisateurs qui activent l'authentification multifacteur (MFA) pour leurs comptes vont bloquer 99,9% des attaques automatisées, quel que soit le profil, site Web ou service en ligne. Si le fournisseur de service prend en charge ce type d’authentification, Microsoft recommande de l’utiliser, qu’il s’agisse d’un mot de passe aussi simple qu'un mot de passe à usage unique basé sur SMS ou encore des solutions biométriques avancées.

Pour en savoir plus, voir securite.developpez.com.
27 août2019
 "Confidential Computing Consortium" : pour un véritable chiffrement de bout en bout
De grands noms du numérique s’allient pour aborder la problématique du traitement des données chiffrées dans les environnements informatiques hétérogènes. Elle sera l’affaire du Confidential Computing Consortium, dont la fondation Linux a annoncé la création à l’occasion de l’Open Source Summit de San Diego (Californie). Dix sociétés en sont pour l’heure membres : Alibaba, ARM, Baidu, Google Cloud, IBM, Intel, Microsoft, Red Hat, Swisscom et Tencent.

Voir itespresso.fr/.
25 août2019
 L'opérateur mobile autrichien "A1" va lancer les paiements en cryptomonnaies
A1 n'est pas le seul opérateur téléphonique à se pencher sur les cryptomonnaies. AT&T, premier opérateur mobile américain, propose déjà une option de paiement par cryptomonnaies. A1 indique qu’il travaille également sur des accords pour accepter d’autres services de paiements en ligne et ajoutera les options "Alipay" d’Alibaba et "WeChat Pay" de Tencent. Mais alors qu'il existe plus de 2000 cryptomonnaies sur le marché, A1 n'acceptera que les plus répandues d'entre elles, comme Bitcoin, Litecoin ou Dash.

Voir lefigaro.fr.
20 août2019
 "Algorithmes : où sont les dangers?", un article intéressant publié par le "World Economic Forum"
Aujourd’hui, les algorithmes sont partout. Ce sont des écritures informatiques, des procédures systématisées de résolution de problèmes. Ils orientent nos comportements de consommation, ou sélectionnent les informations auxquelles nous sommes exposés sur les réseaux sociaux. Kenzo Nera, doctorant en psychologie sociale à l'Université Libre de Bruxelles, nous en explique les dangers.

Voir l'article du World Electronic Forum.
15 août2019
 L'ANSSI se dote d'un Conseil Scientifique pour resserrer ses liens avec le monde académique. Deux membres de l'ARCSI en font partie.
Organe consultatif de réflexion et de proposition, le Conseil Scientifique rassemble une douzaine de personnalités scientifiques et accompagnera l’Agence Nationale de Sécurité des Systèmes d'Information dans l’anticipation des grands défis de la sécurité numérique. Il proposera ainsi des thèmes de recherche et s’exprimera sur le programme scientifique de l’Agence. Ses membres sont nommés pour 3 ans. Hervé Debar et Eric Freyssinet, tous deux membres de l'ARCSI, en font partie.

Voir le communiqué de l'ANSSI.
14 août2019
 Le gouvernement chinois annonce pour très bientôt, une cryptomonnaie officielle chinoise...
Si tous les États n'ont pas encore légiféré sur la question des cryptomonnaies gouvernementales, certains ont déjà décidé d'en adopter une officielle. En Chine, celle-ci sera bientôt opérationnelle. Ce n’est pas une véritable surprise de constater que le gouvernement chinois souhaite un système de monnaie numérique qu’il puisse contrôler, pour renforcer l’indépendance de la Chine envers les technologies étrangères.

Voir le site de begeek.fr.
8 août2019
 De nouvelles vulnérabilités affectent le standard de chiffrement WPA3 utilisé par la norme sans fil Wifi
Le Wifi Protected Access (WPA) est une norme de sécurité du WiFi conçu pour authentifier les dispositifs sans fil à l'aide du protocole AES (Advanced Encryption Standard) afin d'empêcher des actions malveillantes. Le protocole WPA3, lancé il y a un an, avait pour objectif de combler les lacunes techniques du WPA2 considéré comme vulnérable aux attaques KRACK, attaque de réinstallation de clé. Mais deux nouvelles vulnérabilités permettent cependant à des personnes malveillantes de siphonner les mots de passe WiFi.

Voir le site de thehackernews.com.
7 août2019
 Une vulnérabilité affecterait les microprocesseurs Intel de dernière génération
Selon l'entreprise de sécurité informatique BitDefender, la faille en question résiderait dans le mécanisme d’exécution spéculative qui sert à améliorer la performance des processeurs, et par là son utilisation par le système d’exploitation Windows de Microsoft. Les traces laissées dans le cache du processeur pourraient être exploitées par un attaquant, pouvant ainsi accéder aux informations stockées dans la mémoire du noyau du système d'exploitation.

Voir le site de silicon.fr.
6 août2019
 Pour les utilisateurs de cryptomonnaies, le protocole "Zerocoin" en permet la création, puis la réalisation de transactions tout en préservant l’anonymat
Ce protocole permet la création de cryptomonnaies qui, contrairement à Bitcoin, permettent de réaliser des transactions préservant l’anonymat en ne révélant ni l’origine, ni la destination, ni leur montant. L'article qui suit fait l'analyse de ce protocole.

Voir le site https://journalducoin.com.
1er août2019
 Microsoft publie le code "Open Source" d'une partie de l’algorithme de son moteur de recherche "Bing"
Microsoft propose en "Open Source" un algorithme prénommé "Space Partition Tree And Graph (SPTAG)", et qui fait partie notamment de son moteur de recherche "Bing". L'entreprise explique qu'il permet d'exploiter l'intelligence des modèles de "deep learning" pour rechercher des milliards d'informations en quelques millisecondes, permettant ainsi de fournir des résultats plus pertinents plus rapidement grâce à une recherche par concept plutôt que par mot-clé.

Pour en savoir plus, voir le site www.abondance.com.
31 juillet2019
 Facebook annonce qu’il va mettre à jour son algorithme pour freiner la diffusion de fausses informations et de nouvelles sensationnelles
La société annonce qu’elle va repenser la raison d’être de son algorithme, initialement créé pour maximiser l’engagement et les clics et mettant en avant uniquement les nouvelles qui font des likes. Facebook détachera plus de modérateurs pour vérifier la pertinence des contenus et détecter un peu plus les fausses informations. Le réseau social précise que les pages peu connues grossissant soudainement feront l’objet d’une attention toute particulière.

Pour en savoir plus, voir le site siecledigital.fr.
30 juillet2019
 Un décret du Gouvernement officialise le développement d’une application mobile d’authentification d’identité, "AliceM", faisant appel à un dispositif de reconnaissance faciale
AliceM est une application mobile disponible pour l'instant uniquement sur Android. Acronyme de "Authentification en ligne certifiée sur mobile" et actuellement en phase de test, elle permettra bientôt de s’identifier grâce à son smartphone pour accéder aux sites de certains services publics regroupés dans le portail d’accès "FranceConnect", comme ceux de la Direction des impôts ou de l’Assurance maladie. Mais certaines associations s’insurgent contre le fait que l’utilisateur n’ait bientôt plus la liberté de choisir son dispositif d'accès aux services publics dématérialisés.

Pour en savoir plus, voir le site lefigaro.fr.
29 juillet2019
 Google paie des passants pour entraîner ses futurs algorithmes de reconnaissance faciale
En échange de bons de 5 dollars, Google propose à des passants de scanner leur visage, en vue d'améliorer ses algorithmes de reconnaissance faciale. Une initiative qui laisse à penser que la société pourrait équiper ses prochains smartphones Pixel4 de cette technologie en version 3D, dévoilée par Apple avec l'iPhone X et son Face ID en 2017 et plus fiable et sécurisée que les systèmes 2D. Google entraînerait ainsi plus finement ses algorithmes...

Pour en savoir plus, voir le site usine-digitale.fr.
27 juillet2019
 Selon une étude de l'Université Catholique de Louvain, l'anonymisation des données personnelles est un mythe
Des travaux réalisés par des chercheurs de l’UCLouvain et de l’Imperial College London démontrent qu’un algorithme peut estimer, avec grande précision, si des données réidentifiées appartiennent bien à la bonne personne ou non. En utilisant leur modèle de prédiction, ils ont établi qu’avec seulement 15 informations, il était possible de correctement réidentifier 99,98% des Américains. Cela pourrait remettre en question de façon globale l’utilisation de la désidentification comme mécanisme de protection de la vie privée.

Pour en savoir plus, voir le site lecho.be.
23 juillet2019
 "Algorithmes : entre mythes et réalités", une rencontre d'experts en vidéo coordonnée par Fabrice Jazbinsek
Comment définir les algorithmes ? Les algorithmes sont-ils devenus indispensables dans notre société ? Un monde d'algorithmes est-il compatible avec un monde d'éthique ? Connaissez-vous les algorithmes autant qu'ils vous connaissent ?
Pour répondre à ces questions, Fabrice Jazbinsek a rencontré 4 experts : En Suisse Florian Colombo, en Belgique Jennifer Nille, à Paris Dominique Cardon, et à Nancy, Samuel Nowakowski. Il a publié son interview de 30 mn sur youtube.

Pour voir la vidéo, rendez-vous sur youtube.com.
20 juillet2019
 "Quelle place accorder aux algorithmes dans le secteur juridique, notamment sur la fonction prédictive de ces outils", une question au Gouvernement
Lors de la séance du 18 juillet, une sénatrice a demandé au Gouvernement de clarifier sa position sur le développement de l'IA dans le secteur du droit et de la justice, et sur la possibilité de travailler avec les legaltech à la mise en place d'une certification qui permettrait le déploiement raisonné et éthique de ces solutions d'IA. La France a en effet une opportunité pour être pionnière dans la justice algorithmique, au service des justiciables.
Cette question va appeler une réponse du Ministère de la Justice.

Pour voir la question complète, voir le site du Sénat.
18 juillet2019
 Fernando Corbató, inventeur du mot de passe dans les années 60 dans le cadre d'un projet de recherche au MIT, est décédé à 93 ans
C'est dans le cadre du projet de recherche "CTSS", pour "Compatible Time-Sharing System", soit l'un des premiers systèmes d'exploitation à temps partagé, qu'il a eu l'idée de décliner le concept de mot de passe aux ordinateurs: il s'agissait alors de permettre aux chercheurs de travailler sur un seul et même ordinateur depuis plusieurs comptes différents, afin de protéger leur travail.

Pour en savoir plus, voir le site bfmtv.com.
17 juillet2019
 Le FBI publie les clés de décryptement pour le rançongiciel "GandCrab"
Plus d'un mois et demi après l'annonce des créateurs de "GandCrab" de mettre fin à leurs campagnes, le FBI publie les clés de décryptement du rançongiciel pour ses versions 4, 5, 5.0.4, 5.1 et 5.2. L'Agence américaine avait déjà aidé à la publication d'un premier outil en juin 2019 en collaboration avec Europol et plusieurs services de police européens. Ce nouvel outil est disponible sur nomoreransom.org.

Pour en savoir plus, voir le bulletin du FBI.
16 juillet2019
 Des milliards de textes en japonais ancien décryptés grâce à une Intelligence Artificielle
Des chercheurs ont créé une intelligence artificielle capable de traduire des textes écrits en Kuzushiji, écriture japonaise ancienne utilisée du VIIIe au Xe siècle pratiquement disparue. Elle peut traduire une page de texte en 2 secondes avec une précision de 85%. Mais on ignore la plupart du temps si les transcriptions ont réellement été effectuées correctement...

Pour en savoir plus, voir l'article de lebigdata.fr.
15 juillet2019
 Microsoft propose une version test de Windows 10 avec une authentification sans mot de passe
Pour supprimer les failles de sécurité liées aux mots de passe utilisateur, Microsoft lance en test une version de Windows 10 remplaçant l'authentification par mot de passe par d'autres services plus sécurisés tels que son service d'identification Windows Hello Face, la reconnaissance digitale ou encore par code confidentiel (PIN).

Pour en savoir plus, voir le Blog Windows.
10 juillet2019
 Vous cherchez un bon livre de cryptologie? Les membres de l'ARCSI vous conseillent !
Si vous cherchez l'un des meilleurs livres de cryptologie qui ait été publié, alors consultez la page "conseils de l'ARCSI" accessible dans le bandeau en haut et à droite des pages de notre site www.arcsi.fr. Nos éminents spécialistes du domaine ont sélectionné pour vous les ouvrages les plus pertinents...

Pour en savoir plus, voir la page conseils de l'ARCSI.
9 juillet2019
 Les protections numériques ("digital rights management" ou DRM) de Netflix ont-elles été cassées ?
Toute la saison 3 de la série "Stranger Things" était déjà en accès libre sur internet juste quelques heures après sa disponibilité sur Netflix en version 4K. Or, Netflix utilise une technologie développée par Google, appelée Widevine, pour chiffrer ses films et ses séries. "The Scene", une organisation complexe impliquée dans l’obtention de contenu piraté à partir de plateformes numériques telles que Netflix, Amazon ou iTunes, pourrait en être responsable.

Pour en savoir plus, voir l'article de www.frandroid.com.
8 juillet2019
 Un réseau mondial de serveurs de clés PGP victime d’un sabotage irrémédiable, condamnant de fait la technologie "Synchronizing Key Server" (SKS)
Des serveurs de clés de chiffrement OpenPGP ont été la cible d’un "spam" qui rend les clés publiques touchées inutilisables. Cette vulnérabilité, impossible à patcher, condamne de fait la technologie "Synchronizing Key Server" (SKS), la plus déployée et utilisée dans le monde. Cette attaque est intrinsèquement liée au design des serveurs SKS et son code est trop vieux pour être modifiable.
Cela devrait permettre le déploiement d'une nouvelle génération de serveurs de clés moins vulnérables et plus respectueux vis-à-vis de la protection des données personnelles.

Pour en savoir plus, lire l'article de 01net.com.
3 juillet2019
 Le dernier numéro de "Global Security Mag" désormais téléchargeable en pdf par les adhérents de l'ARCSI à partir du site privé
Le numéro 47 de "Global Security Mag" Technologies et Sécurité vient de paraître. Sa version pdf est désormais téléchargeable par les adhérents depuis la partie privée du site. On y trouvera des contributions de plusieurs membres de l'ARCSI, Marc Brami, Emmanuelle Lamandé et Renaud Lifchitz.

Pour en savoir plus, voici le lien d'accès au site privé.
3 juillet2019
 Une application pour iOS permet d'acheter des cryptomonnaies et d'effectuer les mêmes opérations qu'avec de la monnaie fiduciaire
Son nom? "Bartwallet". Cette application, pour l'instant uniquement disponible sur iOS, permet d'acheter et vendre de nombreuses cryptomonnaies (Bitcoin, Ethereum, Bartcoin,...), le tout de manière sécurisée en A2F à partir d’une simple carte de crédit ou d’un virement SEPA, en créditant son porte-monnaie électronique (wallet) en euros ou en dollars. Il permet également d'effectuer des virements ou des remboursements via n'importe quel compte bancaire, qu’il s’agisse de cryptomonnaies ou de devises.

Pour en savoir plus, lire l'article de igen.fr.
2 juillet2019
 Entrée en vigueur de l'acte législatif de l'Union Européenne sur la cybersécurité
Ce 27 juin est entré en vigueur l'acte législatif européen sur la cybersécurité. Il permet de doter l'Agence Européenne chargée de la sécurité des réseaux et de l'information (ENISA) d'un nouveau mandat permanent et de renforcer son budget et son effectif. L'ENISA sera par ailleurs rebaptisée "Agence de l'Union européenne pour la cybersécurité" Parmi ses prérogatives figure en particulier l'uniformisation des standards de cybersécurité des produits et services vendus sur le marché communautaire.

Pour en savoir plus, consulter le communiqué de l'ENISA (en anglais).
1er juillet2019
 "Eurocrypt 2019" s'est tenue du 19 au 23 juin à Darmstadt, en Allemagne
"Eurocrypt 2019" était la 38e édition annuelle de cette conférence internationale sur la théorie et les applications des techniques cryptographiques. Les actes et les enregistrements vidéo sont disponibles en accès libre sur internet.

Pour accéder aux actes en pdf, voir le programme détaillé d'Eurocrypt 2019.
Pour regarder les vidéos des conférences, il suffit de se rendre sur la page youtube dédiée.
28 juin2019
 Tchap, l'application de messagerie conçue par la DINSIC, fait l'objet d'un "bug bounty" sur le site YesWeHack
La Dinsic (Direction Interministérielle du Numérique et du Système d'Information et de Communication de l'État) a lancé un "bug bounty" sur son application de messagerie souveraine et chiffrée pensée pour l’Administration centrale et les membres du Gouvernement, Tchap, à la recherche de failles potentielles. Elle pointe elle-même les points à observer avec attention, notamment les clés publiques et privées et les métadonnées.

Pour en savoir plus, lire l'article du mondeinformatique.fr.
26 juin2019
 La Banque de France crée un groupe de travail constitué des représentants des différentes banques centrales, et dédié aux projets de cryptomonnaies
François Villeroy de Galhau, gouverneur de la Banque de France, a annoncé la création d'un groupe de travail dédié aux projets de cryptomonnaies, dont celui initié par Facebook sous le nom de Libra. La France préside le G7 en 2019 et souhaite que la communauté internationale fixe un cadre pour que les futures cryptomonnaies ne restent qu'un instrument de transaction et non une monnaie souveraine. La Banque de France promeut en effet activement une stratégie européenne en la matière.

Pour en savoir plus, lire l'article de challenges.fr.
25 juin2019
 Comment penser la cybersécurité à l’heure de l’esclavage numérique, une analyse de Solange GHERNAOUTI, membre de l'ARCSI
Dans ce billet de blog, Solange GHERNAOUTI cherche à analyser l’écosystème numérique actuel pour identifier les différentes manières dont les technologies de l’information contribuent à l’esclavage moderne. Elle se fonde pour celà sur les définitions communément acceptées liées à l’esclavage traditionnel.

Pour accéder au blog de Solange : Cybersécurité, le blog de Solange Ghernaouti.
21 juin2019
 une nouvelle version du kit de sensibilisation à la cybersécurité de "cybermalveillance.gouv.fr" plus complet et plus ludique
Fruit d’une collaboration menée depuis plusieurs mois entre institutions publiques, organismes privés, associations membres du GIP et avec la contribution d’utilisateurs, ce nouveau kit de sensibilisation aborde neuf thèmes, déclinés en différents supports : fiches pratiques, vidéos, mémos et, nouveautés, des formats interactifs et ludiques : une bande dessinée, un poster, un quiz et, pour la version papier, des autocollants.

Pour voir le kit : site cybermalveillance.gouv.fr.
19 juin2019
 Edgar Poe et la sécurité informatique, par Cédric CARTAU, membre de l'ARCSI
On reconnaît les génies au fait que leurs œuvres peuvent être lues et relues, interprétées et réinterprétées au fil des modes et du temps, tout en restant les mêmes. Edgar Poe est de ceux-là. Et Cédric nous rappelle l'usage qu'a fait Edgar Poe de la technique de l'obfuscation.

Pour lire l'article de Cédric Cartau : Edgar Poe et la sécurité informatique.
17 juin2019
 Le site Upsigma publie un complément à son histoire de la cybersécurité française du XVe siècle, époque de l'invention de l'imprimerie, à nos jours. Voir notre actualité du 6 juin dernier.
13 juin2019
 Les services techniques du Ministère de l'Intérieur réussissent à développer un outil de décryptement du rançongiciel PyLocky et le mettent à disposition du public
PyLocky est un rançongiciel (ou ransomware), qui crypte les fichiers de la victime et réclame une rançon en échange de la clef permettant d’en recouvrer l’accès. L'utilitaire développé par le Ministère de l'Intérieur agit sur les fichiers cryptés avec les versions 1 et 2 de PyLocky. Il est le fruit de la collaboration des services d'enquêtes, qui ont pu récolter dans le cadre de leurs investigations des éléments techniques, en association avec des chercheurs en sécurité bénévoles. L'outil nécessite Microsoft Windows 7 ou supérieur, mais il ne décontamine pas pour autant la machine infectée par le rançongiciel.

Pour en savoir plus, consulter le site cybermalveillance.gouv.fr.
Pour télécharger l'outil, c'est ici (fichier zip).
11 juin2019
 A écouter ou réécouter sur le site de l'ARCSI, une série de 4 émissions de France Culture consacrées en août 2018 à Alan Turing, dans le cadre d'un cycle "Grande traversée"
Du 13 au 17 août 2018, France Culture a consacré sa série d'émissions intitulées "la grande traversée", animées par Amaury Chardeau, à Alan Turing. Quatre émissions pour mieux comprendre qui était Turing, quelles ont été ses contributions au décryptement de l'Enigma ou au concept de l'ordinateur. Quatre émissions que l'ARCSI vous propose de réécouter directement sur son site :
Vous pouvez également écouter directement ces podcasts sur le site de France Culture : le cycle "Grande traversée, l'énigmatique Alan Turing".
9 juin2019
 Le nombre de malwares se cachant dans le trafic chiffré par "SSL/TLS" est en hausse notable
D'après Stan Lowe, de la société Zscaler, les certificats SSL sont de plus en plus utilisés car considérés comme une valeur sûre. Mais ce temps est révolu avec l’avènement de fournisseurs de certificats gratuits. L’augmentation spectaculaire du trafic chiffré au cours des dernières années a en effet offert aux pirates informatiques davantage d’opportunités, en dissimulant dans ce canal chiffré la diffusion de logiciels malveillants vers les utilisateurs, l’exfiltration de données et les communications "commande et contrôle" vers des botnets.

Pour en savoir plus, lire l'article de globbsecurity.fr.
7 juin2019
 Deux chercheurs expliquent comment casser un chiffrement RSA de 2048 bits avec un ordinateur quantique en seulement 8 heures en optimisant l’algorithme de Shor
Craig Gidney, chez Google, et Martin EkerÅ au KTH Royal Institute of Technology à Stockholm viennent de montrer comment casser le chiffrement RSA à 2018 bits avec un ordinateur quantique de "seulement" 20 millions de qubits. Jusqu’à présent, les experts en sécurité estimaient plusieurs dizaines d’années nécessaires pour réaliser l'opération. Pour y parvenir, ils ont optimisé la phase la plus exigeante, l’algorithme de Shor.

Pour en savoir plus, lire cet article.
Pour en savoir plus sur l'algorithme de Shor, voir l'article de wikipedia.
6 juin2019
 Le site Upsigma publie une brève histoire de la cybersécurité française du XVe siècle, époque de l'invention de l'imprimerie, à nos jours
Convaincu que toute réflexion sur les enjeux stratégiques actuels et futurs de la sécurité numérique se nourrira utilement d’un regard rétrospectif sur les origines de celle-ci, le site Upsigma publie une brève histoire de la cybersécurité française en plusieurs volets.

N'hésitez-pas à consulter ces intéressantes synthèses :
* Une brève histoire de la cybersécurité française, partie 1 : du XVe siècle à 1918.
* Une brève histoire de la cybersécurité française, partie 2 : de 1918 à 1947.
* Une brève histoire de la cybersécurité française, partie 3 : de 1947 à 1970.
* Une brève histoire de la cybersécurité française, partie 4 : de 1970 à 2010.
* 2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà (1/3).
* 2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà (2/3).
* 2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà (3/3).
3 juin2019
 Facebook se prépare à lancer une monnaie virtuelle, "GlobalCoin", fondée sur la technologie Blockchain, et probablement indexée sur le dollar
La future devise virtuelle de Facebook devrait être adossée à une monnaie contrôlée et émise par un État, et évoluant indépendamment des cours de l'or ou de l'argent. Le dollar américain fait office de favori pour servir de "tuteur" à la cryptomonnaie, permettant ainsi à Facebook de présenter une devise moins volatile et plus liquide que ses rivaux.

Pour en savoir plus, lire l'article de lecho.be.
2 juin2019
 Guillaume Poupard (ANSSI) : "Avec la 5G, nous entrons dans le domaine de la sécurité nationale"
À l'occasion des 10 ans de l'Agence Nationale de la Sécurité des Systèmes d'Information, son Directeur vient de donner une interview à clubic.com, dans laquelle il traite de sujets aussi variés que la 5G, la guerre économique sino-américaine, les métiers de l'Agence,...

Une interview que vous pouvez lire ici : article de clubic.com.
31 mai2019
 Une machine ENIGMA de la deuxième Guerre Mondiale est mise aux enchères aux USA à 200.000$ et... ne trouve pas preneur !
Une machine Enigma, étonnamment préservée, a été mise aux enchères hier par la société de vente aux enchères Nate D. Sanders, installée à Los Angeles en Californie. Elle était mise à prix à 200.000$. Utilisée pendant la Seconde Guerre mondiale par l’Allemagne nazie, il s'agit d'une Enigma 3, composée de 3 rotors et fournie dans sa boite d'origine en bois. L’emblème du Troisième Reich est gravé sur les roues en métal et la batterie est également celle d’origine. Le tout pèse environ 13 kilos.

Pour en savoir plus, lire l'article de Numerama.com.
Voir également les captures d'écran réalisées depuis le site de la société de ventes aux enchères : copie d'ecran 1 et copie d'ecran 2.
29 mai2019
 Une Intelligence Artificielle créée par Google prouve plus de 1200 théorèmes mathématiques
Un groupe de chercheurs de Google a développé un programme d'Intelligence Artificielle chargé de prouver des théorèmes mathématiques. Elle s'est fondée sur HOL Light Theorem Prover, un logiciel destiné à aider les mathématiciens à formaliser et vérifier leurs raisonnements. Certains mathématiciens y voient déjà l'avenir de la recherche dans ce domaine.

Pour en savoir plus, lire l'article de Clubic.com.
23 mai2019
 En hommage au cardinal Richelieu, la DGSE lance un curieux défi... pour un membre de l'ARCSI ?
La DGSE vient de lancer un défi portant sur le chiffrement, la cryptanalyse, la stéganographie, la programmation et la sécurité informatique… et a pensé au cardinal Richelieu.
Il suffit de se connecter à l'adresse ci-dessous et une page noir et vert s’affiche. Un message situé au-dessus d’un compte à rebours précise que l’on peut participer au challenge Richelieu jusqu’au 14/06/2019 à 12h00. Il est également possible d’obtenir un second message... et c'est tout... Avis aux "as" de l’informatique et aux cryptanalystes de l'ARCSI pour aller plus loin…

Pour en savoir plus, lire l'article de Opex360.com.
Pour le challenge, voir défi de la DGSE.
22 mai2019
 Pour l'ANSSI, la sécurité des objets connectés, c'est possible avec le logiciel libre ! La preuve avec le projet WooKey
Lors de la conférence Ready for IT qui vient de se tenir à Monaco, l'ANSSI a présenté le projet WooKey, reposant sur le logiciel libre. Ses différents mécanismes matériels et logiciels intégrés permettent d'assurer la résistance face à de nombreux types d'attaques sophistiquées.
Le partage de cette solution va permettre sa déclinaison vers d'autres usages tels que les capteurs, périphériques, systèmes industriels, véhicules... Sécuriser les composants de base et faire en sorte qu'ils soient largement réutilisés constitue pour l'ANSSI un moyen d’améliorer le niveau de sécurité de ces objets.

Pour en savoir plus, lire le communiqué de l'ANSSI.
21 mai2019
 le 24 juin prochain : Conférence "bilan des vulnérabilités IoT et recommandations"
Dans le cadre des ¨Lundi de la cybersécurité¨, organisés par le Cercle d'Intelligence économique du Medef Hauts-de-Seine et qui se tiennent à Télécom ParisTech en collaboration avec ParisTech Entrepreneurs, venez assister à la conférence de Thomas Gayet, Directeur du CERT digital.security, premier CSIRT spécialisé sur la sécurité de l’Internet des Objets. Il présentera les princiaples failles de sécurité et les premières attaques réalisées, les nouveaux enjeux de sécurité ainsi que les démarches et les solutions possibles.

Pour en savoir plus, lire l'annonce du Medef92.

Conférence le 24 juin à 18H30, inscription obligatoire par mail à Béatrice Laurent : beatricelaurent.cde@gmail.com, avec dans l'objet "Inscription 24/06".
20 mai2019
 Authentification à facteurs multiples : la fin du SMS ? pas selon Google !
Déconseillé depuis bientôt trois ans aux USA par le "National Institute of Standards and Technology" (NIST), le message texte est toujours largement utilisé pour l’authentification à facteurs multiples. Or, Google vient de publier une étude montrant que le SMS reste l'un des moyens les plus sûrs pour se protéger contre les attaques automatisées. La clé de sécurité demeure la meilleure solution mais ensuite, Google prône l'usage de la demande de confirmation sur un terminal et le code OTP (One Time Password) envoyé par SMS.

Pour en savoir plus, lire l'article de LeMagIT.
Pour lire le post de Google, c'est ici.
17 mai2019
 ProtonMail introduit une bibliothèque de chiffrement PGP pour le langage de programmation GO
ProtonMail annonce le lancement du projet "GopenPGP", comprenant une bibliothèque OpenPGP de haut niveau ainsi que des bibliothèques de chiffrement Golang. Ce projet vise à faciliter l'utilisation du chiffrement OpenPGP dans les applications des développeurs mobiles et de bureau utilisant le langage GO (golang) tant pour Android (monde Google) que pour iOS (monde Apple), via la plateforme "ProtonMail Bridge".
A noter sa compatibilité avec la cryptographie à courbes elliptiques (voir notre actualité du 28 avril dernier).

Pour en savoir plus, lire l'article de ProtonMail.
15 mai2019
 L’Agence Nationale de la Sécurité des Systèmes d'Information fête ses 10 ans le 4 juin prochain
Pour célébrer ses 10 ans d’existence, l’ANSSI, Agence nationale de la sécurité des systèmes d’information, propose le Cyber Festival #ANSSI10 qui rassemblera tous les grands acteurs du numérique avec lesquels elle évolue. Au programme de cet évènement ouvert sur invitation : tables rondes, débats, concours de pitchs, rencontres avec des experts et animations ludiques. Pour la clôture interviendra Claire Landais, secrétaire générale de la défense et de la sécurité nationale.

Pour en savoir plus, lire l'actualité de l'ANSSI.
Le programme est en téléchargement ici.

Pour une demande d'inscription (sous conditions), c'est ici.
15 mai2019
 Intel publie plusieurs bulletins de sécurité concernant des vulnérabilités de ses microprocesseurs, dont une nouvelle famille affectant la fonctionnalité d'exécution spéculative
Cette nouvelle famille de vulnérabilités qu'Intel appelle Microarchitectural Data Sampling (ou MDS) compte quatre failles. La plupart des processeurs serait affectée mais les puces les plus récentes disposeraient de correctifs au niveau matériel. Elles peuvent être exploitées à distance et peuvent entraîner une fuite d'informations telles que des mots de passe, des clés de chiffrement de disque ou encore l'historique de navigation.
L'impact pourrait potentiellement être important pour les fournisseurs de services Cloud et les environnements multi-Cloud, car il serait possible d'accéder à des données appartenant à d’autres utilisateurs.

Pour en savoir plus, lire l'article de Global Security Mag.
14 mai2019
 Les attaques par collision SHA-1 ne sont plus de la simple théorie
Deux chercheurs viennent de présenter la toute première attaque par collision avec préfixe choisi pour SHA-1, une version plus pratique de l'attaque réalisée pour la première fois par Google.
Si la fonction de hachage SHA-1 a théoriquement été cassée en 2005, la première attaque de collision réussie n'a été réalisée qu'en 2017. La nouveauté de la technique décrite est la réduction considérable du coût de la recherche de collisions avec un préfixe choisi pour SHA-1, presque identique à celui de la recherche d'une collision classique.
De telles attaques sont désormais économiquement viables et à la portée des cybercriminels et des groupes liés aux services de renseignement.

Pour en savoir plus, lire l'article de "ZDNet".
Quant aux spécialistes, ils pourront consulter le papier original, en anglais.
12 mai2019
 Un algorithme capable de prédire un cancer du sein cinq ans à l'avance
Gràce à l'étude des antécédents médicaux de 60.000 patientes, des chercheurs du MIT spécialisés en Intelligence Artificielle ont mis au point une méthode d'analyse pour évaluer si une femme est susceptible de développer un cancer du sein dans les cinq années qui suivent. L'algorithme a "appris" à reconnaître des changements dans le tissu mammaire qui sont précurseurs des tumeurs malignes. L'étude a notamment montré que l'algorithme a pu classer avec précision 31% des patientes comme étant à haut risque contre seulement 18% pour les méthodes traditionnelles. Cette stratégie serait applicable à d'autres contextes, comme les maladies cardiovasculaires, ou d'autres cancers comme celui du pancréas.

Pour en savoir plus, lire l'article de "santé magazine".
10 mai2019
 Algorithmes : une série de quatre émissions sur France Culture
Début mai, France Culture a consacré sa série d'émissions intitulées "Les chemins de la philosophie", animées par Adèle Van Reeth, aux algorithmes. Que se cache derrière ce mot, quelle est son histoire, comment comprendre cette méthode pouvant permettre de résoudre rapidement un problème,...:
Pour écouter directement ces podcasts sur le site de France Culture : l'émission "Les chemins de la philosophie".
5 mai2019
 2.000 euros pour celui qui décryptera une mystérieuse inscription sur un rocher dans le Finistère, un challenge pour un ARCSIste ???

la municipalité de Plougastel-Daoulas lance un appel national auprès des linguistes, historiens et autres spécialistes. La raison? Une roche dans l’anse du Caro, qui porte d'étranges inscriptions : des lettres ou groupes de mots gravés, à l'endroit ou à l'envers, incompréhensibles, des dates (1786 et 1789, correspondant à la construction du Fort du Corbeau, et 1920). Ces inscriptions auraient été faites par un soldat russe en garnison dans le fort..  

Pour en savoir plus, lire l'article de "letelegramme".

ARCSIstes, participez à l'appel !!!
Règlement de participation auprès de Véronique Martin, par mail : veronique.martin@mairie-plougastel.fr. Adresse postale : 1, rue Jean-Fournier, 29470 Plougastel-Daoulas.

Le dossier complet est disponible en téléchargement ici..

2 mai2019
 De nombreux de clients de messagerie électronique vulnérables aux usurpations de signature
Des chercheurs des universités de Bochum et de Münster ont découvert des vulnérabilités dans les standards OpenPGP et S/MIME, pouvant permettre d'usurper des signatures numériques. Une douzaine de clients de messagerie sont impactés, parmi les plus utilisés. Ce sont Thunderbird, Microsoft Outlook, Apple Mail, iOS Mail, GpgOL, KMail, Evolution, MailMate, Airmail, K-9 Mail, Roundcube, et Mailpile. Cinq types d'attaques ont été identifiés, permettant d'exploiter ces failles.

Pour en savoir plus, lire l'article de "thehackernews.com".
Le rapport complet, disponible en anglais sur Github, est consultable ici.

1er mai2019
 Bernard Fabrot, programmeur autodidacte belge, vient de résoudre un casse-tête cryptographique énoncé en 1999 par le MIT
Ron Rivest, professeur au "Computer Science and Artificial Intelligence Laboratory" du MIT américain, le créateur de l'énigme et bien connu en tant que le "R" de l'algorithme cryptographique RSA, avait estimé qu'il faudrait au minimum 35 ans avant qu'elle ne puisse être résolue. Mais le 15 avril dernier, Bernard Fabrot a réussi à déjouer tous les pronostics.
La résolution du code donnera lieu le 15 mai prochain à l'ouverture d'une capsule temporelle datant de 1999 contenant de nombreux articles de l'époque, et peut-être d'autres énigmes...

Pour en savoir plus, lire l'article de "www.rtbf.be".
Ou encore, l'article de "theregister.co.uk" (décrivant l'énigme).

28 avril2019
 Le SSL : pas qu’une simple technologie
Les entreprises se doivent de proposer aux internautes qui se rendent sur leur site internet toutes les garanties nécessaires pour leur permettre de surfer et d’échanger des informations en toute sécurité, et pour cela l'utilisation d'une liaison chiffrée de bout en bout est de plus en plus la norme via l'utilisation des technologies incontournables HTTPS et SSL (ou TLS). Enfin, il est plus que de bon sens pour un organisme français de sécuriser son site avec un Certificat SSL français ou européen.

Pour en savoir plus, lire l'article de "globalsecuritymag.fr".

A noter que l'ARCSI utilise ce type de technologie, son certificat https étant vérifié par l'organisme "Let's encrypt". Il suffit de cliquer sur le cadenas vert....

28 avril2019
 ProtonMail offre désormais la cryptographie à courbe elliptique, pour une sécurité et une rapidité accrues
L’équipe responsable de ProtonMail vient d'annoncer que son service de courrier électronique sécurisé prend désormais en charge la cryptographie à courbe elliptique (ECC) pour une meilleure sécurité et une rapidité accrue. Cette dernière sera à disposition de tous ses utilisateurs dans toutes les applications web, mobiles et de bureau du service de courrier électronique. Et si la société a pris la décision d'inclure la cryptographie par courbe elliptique en plus du chiffrement RSA, l'ECC deviendra de fait la norme par défaut pour toutes les nouvelles adresses sur ProtonMail.

Pour en savoir plus, lire l'article de "securite.developpez.com".

24 avril2019
 
Publication en français d'une étude de "Digital Content Next" sur les données personnelles collectées par Google
Publiée à l'été 2018 par le professeur Douglas Schmidt et son équipe de l’université Vanderbilt, une très intéressante étude sur la collecte massive des données personnelles par Google vient d'être traduite par Framalang.
Elle explique comment fait cette entreprise pour tout connaître sur ses utilisateurs, que ce soit via ses applications (YouTube, Maps, Gmail, ou le moteur de recherche) ou de manière passive, qu'il s'agisse de ses plateformes Android et Chrome, ou ses outils de publication (Google Analytics, AdSense) et de publicité (AdMob, AdWords).

Pour télécharger la version française de l'étude de "Digital Content Next", c'est ici.

Pour lire la version anglaise, rendez-vous sur : rapport DCN en anglais.
15 avril2019
 L'Agence nationale de la sécurité des systèmes d'information (ANSSI) présente son rapport annuel 2018 et les cinq grandes tendances de menaces
Bien qu'elle ait recensé beaucoup moins de cyberattaques en France en 2018 qu'en 2017 (1.869 signalements d'événement de sécurité numérique contre 2.435, 16 incidents majeurs contre 20, et 14 opérations de cyberdéfense au lieu de 12), l'Agence, par la voix de Guillaume Poupard, son Directeur général, estime que "la menace évolue rapidement" et que la crainte d'un cyber-Pearl Harbor est bien présente. Dans son rapport, elle insiste sur cinq grandes tendances de menaces : espionnage, attaques indirectes, opérations de déstabilisation et d'influence , opérations clandestines sur les cryptomonnaies et fraude en ligne.

Pour en savoir plus, lire l'article de "La Tribune".

Et pour télécharger le rapport 2018 de l'ANSSI "Construisons ensemble la confiance numérique de demain", c'est ici.

14 avril2019
 "Locked Shields" : La France, première nation au classement de l’exercice de Cyberdéfense organisé par l’Otan
Depuis 2010, le centre d’excellence de l’OTAN (CCD COE) organise "Locked Shields", un exercice majeur de cyberdéfense, qui réunit plus de 30 nations, dont la France. L’objectif est d’évaluer leur capacité à défendre un réseau informatique complexe face è des cyberattaques menées par un État fictif.

Cette année, c'est l'équipe France ANSSI - COMCYBER qui remporte la première place devant l'équipe tchèque.
 
Lire l'article sur opex360.com.
Pour mémoire, lire l'article "Locked Shields 2018" sur le portail des Armées.
9 avril2019
 La première édition de la "Paris Cyber Week" aura lieu du 5 au 6 juin 2019
Résultat des travaux de la CyberTaskForce, le nouvel évènement "Paris Cyber Week" ambitionne de devenir la référence du dialogue public/privé dans le domaine du numérique. Pour cela, il a adopté un format tourné vers l’échange, et des intervenants issus du monde politique sur les sujets de la transformation numérique et de la cybersécurité. L'évènement sera découpé en quatre grands thèmes : la transition écologique, la sécurité numérique, l’assurance et l’identité numérique.

Pour en savoir plus, lire : "paris-cyber-week".

8 avril2019
 Le Gouvernement secret : cinq émissions sur France Culture consacrées aux services de renseignement et à leur place dans nos démocraties
Début avril, France Culture a consacré sa série d'émissions intitulées "Matières à penser", animées par Antoine Garapon, aux services de renseignement. L’existence d’un "gouvernement secret" n’a cessé de hanter la politique. La collecte d’informations confidentielles recueillies à l’insu de tous est une pratique très ancienne qui pose des difficultés particulières à une démocratie censée agir en toute transparence... Cinq émissions téléchargeables sur notre site arcsi.fr :
Pour écouter les podcasts sur le site de France Culture : l'émission "matières à penser".

7 avril2019
 EverCrypt, une nouvelle suite d'outils de cryptographie numérique mathématiquement totalement sécurisée ?
"EverCrypt" est un ensemble d'outils de cryptographie numérique développé à partir de 2016 dans le cadre du projet Everest, une initiative menée par Microsoft Research pour pallier les insuffisances des bibliothèques cryptographiques de l'époque. Les concepteurs ont ainsi introduit une méthode qui rendrait leur suite invincible, et ce grâce à la vérification formelle. Le challenge a été de développer une plateforme de programmation unique mettant sur un pied d'égalité les mathématiques et le logiciel.

Pour en savoir plus, lire l'article de "securite.developpez.com".

5 avril2019
 La revue "Global Security Mag" désormais disponible en format pdf sur le site privé de l'ARCSI pour ses adhérents
Grâce au partenariat avec "Global Security Mag" et à l'accord de Marc Brami, son Rédacteur en chef, les numéros de ce magazine sont désormais disponibles en format pdf sur la partie privée du site de l'ARCSI.

1er avril2019
 L’ANSSI, Agence nationale pour la sécurité des systémes d’information, publie un intéressant rapport sur LockerGoga, rançongiciel soupçonné d’avoir été à l’œuvre chez Altran et Norsk Hydro.
L'Agence identifie des similitudes avec un autre malware, Ryuke, et estime que les cyberattaquants peuvent attendre longtemps afin de lancer le processus de chiffrement. Elle ajoute le recours systématique à deux services de messagerie électronique distincts pour les demandes de rançongiciel, la création d’un reverse shell pour agir à distance dans l’environnement compromis, et l’utilisation de psexec pour copier et exécuter le rançongiciel pour chiffrer les machines cibles.

Lire l'article du MagIT de présentation.

Le rapport lui-même est téléchargeable ici.
30 mars2019
 Des malfaiteurs dérobent pour 150.000 € de carburants en se servant dans les stations-service grâce à une télécommande dont le code secret était "0000" !
Les bandes organisées s'adaptent aux vulnérabilités des nouvelles technologies. L'une d'elles s'adonnait à un trafic de carburant depuis avril 2018 grâce à une télécommande permettant de déverrouiller les pompes des stations Total, trafiquée pour l'utiliser en mode manuel. Ils récupéraient ainsi des centaines de litres de gazole et d'essence dans des communes de la banlieue parisienne. Mais il faut dire que le code secret de la télécommande n’était pas un gage de sécurité absolue : "0000".

Lire l'article de l'Echo Républicain.
28 mars2019
 En 2018, près des deux tiers des entreprises ont subi des pannes liées à leurs certificats machine
Une étude de Venafi révèle qu'en 2018, près 60% des entreprises ont subi des pannes liées aux certificats, touchant tant leurs applications que leurs services opérationnels stratégiques. Plus de 550 DSI basés aux États-Unis, au Royaume-Uni, en France, en Allemagne et en Australie ont participé à cette étude, qui montre que 80 % des entreprises éprouvent des difficultés à protéger l'identité de leurs machines.

Lire l'article de Global Securit Mag.
Télécharger l'étude : Etude de Venafi-Forrester.
25 mars2019
 Quelles exigences de sécurité du Règlement Général européen pour la Protection des Données (RGPD)?
Le nouveau Règlement est censé protéger les personnes physiques dans le cadre du traitement de leurs données à caractère personnel et de la libre circulation de ces données au sein de l’UE. Ses dispositions ont pour objet de fournir des indications sur la mise en œuvre des règles de sécurité et des mesures organisationnelles appropriées au traitement de ces données. Dans un article, Jean-Pierre Mistral, Director Global Data Privacy, explique comment atteindre cet objectif de sécurité.

Lire l'article de Jean-Pierre Mistral
24 mars2019
 Palantir, Huawei, Kaspersky: le cri d'alarme d'un ancien de la DGSE sur la cybersécurité
Fondateur de la direction technique de la DGSE, Bernard Barbier, par ailleurs consultant en cybersécurité et membre du conseil d'administration de l'ARCSI, s'est exprimé dans le journal "Challenges" sur la dépendance européenne aux nouveaux acteurs du numérique.

Lire l'article de Bernard Barbier
23 mars2019
 Noms de domaine usurpés : l’Internet mondial est-il en danger ?
Fin février 2019, l’Internet Corporation for Assigned Names and Numbers (ICANN), organisme gérant les adresses IP et les noms de domaines utilisés sur le web, alertait sur les risques d’attaque systémique de l’Internet, et pointait plusieurs incursions. Pour comprendre ce qui est en jeu, Hervé Debar, Responsable du département "Réseaux et Services de Télécommunications" à Télécom SudParis, explique ce qu’il faut avoir en tête.

Lire l'article d'Hervé Debar
21 mars2019
 Les institutions européennes se préparent à des cyberattaques majeures
Dans un contexte de potentielles attaques informatiques de grande ampleur, le Conseil européen a adopté un Protocole européen de réponse d'urgence de maintien de l'ordre (EU Law Enforcement Emergency Response Protocol). Celui-ci donne un rôle croissant au Centre de cybercrime d'Europol pour établir la nature criminelle d'une cyberattaque.


Pour en savoir plus : article d'EUROPOL
20-21 mars2019
 Forum Sécurité@Cloud
Pendant deux jours se tiendra à Paris - Porte de Versailles le salon Cloud Computing World Expo. Dans ce cadre, un Forum dédié à la sécurité du Cloud, "Forum Sécurité@Cloud", donnera lieu à de nombreuses conférences sur le thème : "vers un Cloud de confiance? Enjeux, analyses, méthodologies".

Inscription gratuite obligatoire. Voir Forum "Sécurité@Cloud".
19 mars2019
 Des simulateurs Enigma, Typex et Bombe disponibles en libre accès
Pour célébrer ses 100 ans, le GCHQ, service de renseignement électronique britannique, a mis en ligne sur tweeter, des simulateurs des célèbres machines de cryptanalyse Enigma, Typex et Bombe. Il a ainsi conçu une application web simple et intuitive sans avoir à utiliser des outils complexes et faire de la programmation.

Pour en savoir plus : article du blog du Modérateur.
18 mars2019
 Le nouveau projet "Red Team" de la Linux Foundation va développer des outils de cybersécurité open source
Annoncé par la fondation Linux lors de l'Open Source Leadership Summit, le projet "Red Team" sera un incubateur pour le développement d'outils de sécurité open source, incluant des programmes prenant en charge l’automatisation de "cyber range" (espaces virtuels simulant des attaques de hackers), des utilitaires de pentesting conteneurisés, une analyse de risque des fichiers binaires et des programmes de validation de normes.

Pour en savoir plus : Projet Red Team de la fondation linux.
18 mars2019
 Conférence "Les alliances dans le cyberespace"
organisée par le Cercle d'Intelligence économique du Medef IdF
Dans le cadre des ¨Lundi de la cybersécurité¨, qui se tiennent à Télécom ParisTech, venez assister à la conférence d'Olivier Kempf, auteur de ¨Alliances et mésalliances dans le cyberespace¨ (Economica). Docteur en science politique, chercheur associé à la FRS, Olivier Kempf est ancien Général (2S) responsable de la politique de cyberdéfense de l'armée de Terre.

Conférence à 18H30, inscription obligatoire. Voir Lundis de la cybersécurité

Un compte-rendu a été rédigé par Yélina Taibou DIALLO et Seddik CHARKI, accessible ici.
16 mars2019
 Pour fêter le 14 mars, "jour de PI", Google explose le calcul du nombre de ses décimales
Après 111 jours de calcul de 25 processeurs de l’infrastructure Google Compute Engine utilisant 96 machines virtuelles, et un programme spécialement conçu par Emma Haruka Iwao, ingénieure de Google, le précédent record de 22,4 mille milliards de décimales vérifiées est explosé, pour être porté à 31,4 mille milliards.

Plus exactement 31.415.926.535.897 au lieu de 22.459.157.718.361.
On notera ici le clin d'oeil de la part de Google....

Pour en savoir plus : Google explose le calcul de PI.
13 mars2019
 L’OTAN choisit la technologie de chiffrement voix de BlackBerry pour sécuriser ses appels
L'OTAN annonce que son Agence NCIA (NATO Communications and Information Agency) a choisi la solution SecuSUITE de BlackBerry pour le chiffrement des communications de ses responsables en technologies et en cybersécurité, aussi bien sur leur lieu de travail qu'à leur domicile, et lors de leurs déplacements à l’étranger.

"La NCIA aide les 29 pays membres de l’OTAN à communiquer en toute sécurité. Face à des cybercriminels et des acteurs cautionnés par des États qui redoublent d’ingéniosité, il nous fallait une solution ultra-sécurisée pour protéger les conversations de nos responsables indépendamment de leur situation géographique", a précisé le Directeur général de la NCIA.

Pour en savoir plus : article de Global Security Mag.
11 mars2019
 Episode de "NoLimitSecu" dédié à la standardisation en matière de cryptographie
Le blog de cybersécurité "NoLimitSecu" a consacré son émission du jour à la standardisation en matière de cryptographie. Pour en parler, Jean-Philippe Aumasson, spécialiste de chiffrement IoT, blockchain et cryptomonnaies mais aussi de normalisation dans le domaine, et Emilien Gaspar, rédacteur en chef adjoint de la revue MISC. Pour leur donner la réplique, quatre membres de "NoLimitSecu" dont deux ARCSistes, Hervé Schauer et Nicolas Ruff, accompagnés de Marc-Frédéric Gomez et Johanne Ulloa.

Pour écouter le podcast, le fichier mp3 est ici.
4-8 mars2019
 Du 4 au 8 mars se tient à San Francisco la "RSA Conference". Pour plus d'informations, consulter  www.rsaconference.com/
De nombreuses conférences sont en ligne sur YouTube:


26 février2019
 l'OS mobile de Google "Android" obtient à son tour la certification FIDO 2
Cette certification permettra aux mobiles fonctionnant sous Android 7.0 et plus d'utiliser la reconnaissance biométrique intégrée comme moyen d'authentification, et d'utiliser des clés de sécurité FIDO afin d'accéder de manière sécurisée aux sites Internet et applications intégrant le protocole FIDO 2. Ce dernier est déjà supporté par Google Chrome, Microsoft Edge, Mozilla Firefox et Apple Safari.

Voir en particulier l'article de Alliance FIDO
22 février2019
 Campagne mondiale d’attaque DNS : manipulation d’enregistrements DNS à grande échelle
L’organisme international qui attribue les adresses internet (ICANN) avertit que des attaques pour compromettre le système des noms de domaine (« Domain Name System », DNS) sont en cours, ce qui pourrait entraîner des redirections à grande échelle du trafic mondial de données. Il appelle à déployer le protocole DNSSEC, pour "Domain Name System Security Extensions".

Voir en particulier l'article de Global Security Mag
18 février2019
 Création d'123 CyberD, premier fonds d'investissement entièrement dédié à la cybersécurité
Ce fonds est lancé par 123 Investment Managers, société de gestion indépendante. Géré par Philippe Gaillard, entrepreneur en cybersécurité, et Thomas Jesson, ancien de la DGSE, l'objectif est de lever entre 35 et 50 millions d'euros rapidement, et créer un lieu proche du Ministère des Armées capable d'accueillir de jeunes pousses dans un endroit sécurisé.

Voir l'article de Challenges
15 février2019
 La plateforme d’attaquants éthiques "Yes We Hack" lève quatre millions d’euros pour se renforcer à l’international
"Yes We Hack" met en relation des organisations ayant des besoins en matière de sécurité de l'information, avec une communauté d'attaquants éthiques qui réalisent des chasses aux bogues ("Bug Bounty"). Fondée en France en 2013, elle revendique plus de 7000 participants répartis dans 120 pays.

Pour en savoir plus :  article de French Web
10 février2019
 Microsoft rejoint la communauté de standardisation des solutions libres pour flux logistiques OpenChain
La communauté du libre OpenChain identifie et promeut l'application de standards communs pour le développement des applications de flux logistiques, pour que toutes les entreprises puissent en disposer tout en respectant leurs obligations informatiques légales. De nombreuses grandes entreprises avaient déjà rejoint le projet, comme Facebook, Google, et Uber en janvier 2018.

Pour en savoir plus :  article de OpenChainProject
7 février2019
 Google introduit la méthode de chiffrement ChaCha20 pour les appareils dotés de processeurs de faible capacité, en remplacement d'AES
Cette méthode appelée "Adiantum" permettra aux équipements de faible puissance, comme les téléphones d'entrée de gamme ou les montres connectées, d'avoir des capacités de chiffrement sans diminuer leurs performances. La famille de chiffreur de flux ChaCha20 (une variante de SalSa20) remplacera AES (Advanced Encryption Standard) sur ces matériels. Google met en avant le fait que seules sont utilisées des opérations de base (addition, rotation et ou exclusif).

Pour en savoir plus :  Google introduit Adiantum



 
Partie réservée
aux membres
Bulletins, albums photos,
AG, dîners annuels, etc.
+
version pdf du magazine
Global Security Mag
  
Retrouvez toutes les vidéos
de l'association sur la chaîne
Dailymotion de l'ARCSI.



Les mots du Président
spacer
Les mots du Président




Les contributions de l'ARCSI
spacer
Les contributions
de l'ARCSI




Publications des membres
spacer
Publications des membres

comment.gif  Dernière publication
Cybersécurité, analyser
les risques et mettre
en oeuvre les solutions
Solange Ghernaouti





spacer
Crypto : Le Webdoc'
de l'ANSSI