ARCSI, Rubrique Actualités
ARCSI
Association des Réservistes du Chiffre et de la Sécurité de l'Information





15 août 2022
 Plans, Google Maps ou encore Waze vont devoir mettre en place une série de mesures souhaitées par le gouvernement
Waze, Google Maps ou encore Plans vont devoir rendre leur application GPS plus écologiques. Un décret publié le 3 août dont certaines mesures ont commencé à entrer en vigueur ce samedi 6 août veut "accompagner la transition des usages vers une mobilité décarbonée" sur leur application de guidage. Le but ? Pousser les plateformes à ajouter des alternatives plus écologiques aux trajets en voiture.

Pour en savoir plus, voir l'article de ladepeche.fr.
15 août 2022
 Ivanti et SentinelOne s’associent pour proposer la gestion des correctifs face aux vulnérabilités
Ivanti, éditeur de Neurons, la plateforme de gestion des actifs informatiques, et SentinelOne, le spécialiste de la cybersécurité, unissent certaines fonctions de leurs produits phares pour proposer une solution plus complète de protection et de gestion des correctifs. Les deux entreprises vont intégrer leurs technologies pour assurer l’évaluation, la priorisation et la remédiation des vulnérabilités, afin de mieux protéger les postes client et de réduire les surfaces d’attaque.

Pour en savoir plus, voir l'article de itsocial.fr.
15 août 2022
 Attaques par ransomwares en France : +28 % mais + 59% au niveau mondial
Selon le dernier rapport de Check Point Research, le deuxième trimestre 2022 a connu un pic historique des cyberattaques. Une organisation sur 40 par semaine a connu ce type d’attaque. Les trois secteurs les plus visés par les rançongiciels sont les administrations publiques/militaires, l’éducation/ la recherche et les systèmes de santé.

Pour en savoir plus, voir l'article de solutions-numeriques.com.
14 août 2022
 PGPP, l’appli mobile qui rend vos déplacements invisibles
Des chercheurs américains ont lancé le service "Pretty Good Phone Privacy" (PGPP) qui a la bonne idée de découpler l’authentification de l’abonné de sa connexion au réseau. Finie la géolocalisation par identifiant IMSI ! Ils ont présenté leur technologie en 2021, à l’occasion de la conférence Usenix. Un an plus tard, ils la mettent déjà en application avec le lancement d’un service commercial en version bêta, au travers de leur entreprise « Invisv », opérateur mobile virtuel qui s’interconnecte avec la plupart des opérateurs en Europe et aux États-Unis et qui n’offre que des services de données mobiles. Il n’y a pas de téléphonie classique, ni de SMS, car le routage de ces deux services s’appuie sur l’IMSI/SUPI.

Pour en savoir plus, voir l'article de 01net.com.
14 août 2022
 Google Workspace encore un peu plus compatible avec Office
Cherchant à réduire son écart avec Microsoft, Google travaille à l'amélioration de ses outils de collaboration "Google Workspace" et à leur compatibilité avec les fichiers Office. Elle travaille sur cette compatibilité en continu et s’attèle à offrir à ses clients, la possibilité de modifier un fichier Office depuis chacun de ses services avec toute la fluidité nécessaire. Le but étant bien sûr de faire les yeux doux aux utilisateurs de Microsoft 365 afin que ces derniers migrent définitivement sur Workspace.

Pour en savoir plus, voir l'article de lemondeinformatique.fr.
14 août 2022
 Attaques de phishing : Microsoft est toujours la marque la plus usurpée dans le monde
Le rapport de Vade répertorie les 25 marques les plus usurpées pour les attaques de phishing, orchestrées au cours du premier semestre. Facebook y talonne la firme de Redmond Microsoft. Parmi cette liste, on retrouve quatre marques françaises les plus usurpées : le Crédit Agricole, la Banque Postale, Orange et OVH. Chez la plupart des marques, le pic observé au premier semestre était particulièrement sévère. Parmi elles, c’est Google qui affiche l’augmentation la plus notable (873 %), suivie par Apple (737 %) et Instagram (683 %).

Pour en savoir plus, voir l'article de itsocial.fr.
13 août 2022
 Meta (Facebook et Instagram) injecterait du code dans les sites Web pour suivre les utilisateurs
Meta, l’entreprise mère de Facebook et Instagram, dont les imbroglios en matière de respect de la vie privée ne sont plus à rappeler, vient à nouveau d’être épinglée pour des pratiques de suivi des utilisateurs sur la toile en injectant du code JS (JavaScript) dans le navigateur intégré à ses applications. Un chercheur en confidentialité explique que cette injection de scripts personnalisés permettrait à Meta de surveiller toutes les interactions des utilisateurs avec chaque bouton et chaque lien, les sélections de texte, les captures d’écran, ainsi que toutes les entrées de formulaire, comme les mots de passe, les adresses et numéros de carte de crédit.

Pour en savoir plus, voir l'article de developpez.com.
13 août 2022
 La FTC américaine s'attaque à la protection et la confidentialité des données
La Federal Trade Commission (FTC) américaine entame un vaste processus d'élaboration de règles sur la surveillance commerciale et la sécurité des données. Si certains louent ses efforts, d'autres au Congrès craignent qu'ils ne fassent double emploi avec l'adoption de la loi américaine sur la protection et la confidentialité des données et ne la compromettent. La Federal Trade Commission (FTC) a en effet annoncé le lancement d'un "Advance Notice of Proposed Rulemaking" (ANPR) pour lutter contre la surveillance commerciale préjudiciable et le manque de sécurité des données.

Pour en savoir plus, voir l'article de lemondeinformatique.fr.
13 août 2022
 Cyberattaques et cocaïne : les hackers du Dark Web s’allient aux cartels mexicains
Les places du marché illicites du Dark Web sont désormais affiliées aux cartels mexicains du crime. Les armes, la drogue et les services de tueurs à gages sont expédiés n’importe où dans le monde. C’est ce que révèle un rapport inquiétant des analystes de DarkOwl… Ces spécialistes ont identifié une tendance : les larges marchés très surveillés par la police sont délaissés pour des sites de moindre envergure, mais moins exposés à la lumière.

Pour en savoir plus, voir l'article de lebigdata.fr.
12 août 2022
 Un bug de chiffrement de Windows 11 peut endommager des données chiffrées utilisant BitLocker
Windows 11 est sujet à un bug qui pourrait bien corrompre les données de ses utilisateurs et leur faire perdre certains fichiers, notamment lors de l'écriture de données sur des lecteurs chiffrés utilisant BitLocker. Deux fonctions sont concernées : soit le mode tweaked-codebook basé sur AES XEX avec vol de texte chiffré (AES-XTS), soit le mode AES avec Galois/Counter Mode (GCM) (AES-GCM). Microsoft alerte sur la situation et publie une mise à jour de sécurité, impactant les performances du PC.

Pour en savoir plus, voir l'article de lemondeinformatique.fr.
12 août 2022
 AWS co-annonce la sortie du projet Open Cybersecurity Schema Framework (OCSF)
Une coalition d’entreprises des secteurs de la cybersécurité et de la technologie, dirigée par Amazon Web Services (AWS) et Splunk, a annoncé le projet Open Cybersecurity Schema Framework (OCSF). Révélé lors d’une conférence américaine sur la sécurité, il aidera les organisations à détecter, enquêter et arrêter les cyberattaques plus rapidement et plus efficacement. Le projet OCSF s’appuie sur le travail de schéma ICD effectué chez Symantec, une division de Broadcom. L’OCSF comprend des contributions de 15 membres initiaux supplémentaires.

Pour en savoir plus, voir l'article de globalsecuritymag.fr.
12 août 2022
 Il a fallu cinq ans pour patcher cette faille zero-day dans le noyau Linux
Les chercheurs en sécurité de Google sont tombés sur une vulnérabilité qui avait déjà été signalée en 2016 sans être corrigée. Quelques années plus tard, elle s’est retrouvée dans l’arsenal d’un éditeur de logiciels espion pour pirater des smartphones Android. Cette faille se trouvait dans le module « kernel garbage collection » et été patchée en septembre 2021. Mais des recherches presque archéologiques ont montré qu’elle était déjà connue depuis au moins 2016.

Pour en savoir plus, voir l'article de 01net.com.
11 août 2022
 L’importance de l’inspection du trafic chiffré devient un prérequis critique pour les entreprises
D'après WatchGuard, 95,5% des malwares proviennent du trafic chiffré. Aujourd’hui, plus de 80% du trafic dans le monde est chiffré et comporte des risques qu’il ne faut jamais sous-estimer. Compte-tenu de la quantité de trafic chiffré, y compris avec la dernière norme TLS 1.3, l’importance de l’inspection du trafic chiffré devient un prérequis critique pour les entreprises.

Pour en savoir plus, voir l'article de globalsecuritymag.fr.
11 août 2022
 Google se lie à Healthcare en tant que premier opérateur cloud
Le géant du Cloud rejoint la cause médicale en s’associant à Healthcare. La société soutient les actions au profit de l’avancée de recherche médicale. Google fournira ses experts et plusieurs autres ressources à Health-ISAC, en anglais" Health Information Sharing and Analysis Center". Il s’agit là d’un centre de partage et d’analyses d’informations. Les thématiques abordées sont la santé, les propriétaires des infrastructures sanitaires ainsi que des données sur la communauté.

Pour en savoir plus, voir l'article de lebigdata.fr.
11 août 2022
 Cryptomonnaies : les États-Unis sévissent contre un service accusé de blanchiment
Le Trésor américain a placé sur liste noire Tornado Cash, un "mixeur" permettant de brouiller les traces de transactions en cryptomonnaies, accusé d'avoir facilité le blanchiment de 7 milliards de dollars. Les mixeurs permettent d'envoyer des fonds en cryptomonnaies pour les mélanger avec d'autres, puis de les retirer à une autre adresse à une date ultérieure, par le biais de plusieurs envois aléatoires. Ces mélangeurs prélèvent une commission au passage et sont utilisés pour renforcer l'anonymat des transactions sur la blockchain. La décision du Trésor marque une étape importante dans la lutte contre la crypto-criminalité.

Pour en savoir plus, voir l'article de usine-digitale.fr.
10 août 2022
 Incidents dans les services de télécommunications et de confiance en 2021 : les défis des "Over-The-Top"
L'Agence de l'Union européenne pour la cybersécurité (ENISA) publie aujourd'hui les rapports d'incidents 2021 sur les télécommunications et les services de confiance. Il montre que les incidents notifiés augmentent régulièrement et que les incidents les plus signalés sont ceux liés aux certificats qualifiés. Les incidents ayant un impact mineur ou important continuent d'augmenter. Cela suit les tendances des cinq dernières années. 47 % des incidents sont dus à des défaillances du système et restent donc une cause principale d'incidents. En 2021, les incidents causés par des actions malveillantes ont également augmenté de 20 %.

Pour en savoir plus, voir l'article (en anglais) de l'ENISA.
10 août 2022
 Classement des langages informatiques : Python confirme sa place de n°1, PHP réintègre le top 10
Depuis octobre 2021, Python domine le classement des langages populaires. En ce mois d’août, le langage semble prendre encore davantage d’ampleur, avec une part de marché affichée à 15,42 %, soit une progression de 2 points enregistrée ce mois-ci. Une croissance qui peut s’expliquer par la polyvalence du langage informatique.

Pour en savoir plus, voir l'article de blogdumoderateur.com.
10 août 2022
 Les smartphones Oppo et OnePlus vont-ils être interdits en Europe ?
Oppo et OnePlus ont suspendu leurs ventes de smartphones en Allemagne. Les deux marques ont perdu une bataille judiciaire contre Nokia. L’équipementier finlandais accusait les deux filiales du chinois BBK Electronics d’avoir illégalement utilisé ses technologies 4G/ 5G sans payer de licences. La mesure pourrait se généraliser en Europe...

Pour en savoir plus, voir l'article de 01net.com.
9 août 2022
 L'Agence Nationale des FRéquences (ANFR) compile ses enquêtes sur les brouillages d'ondes
L'ANFR vient de publier un document qui relate 25 de ses missions les plus extravagantes. Brouilleur GPS, préamplificateur télé, fréquences utilisées illégalement, box et casque audio sans fil défaillants, ont chacun leur part de responsabilité dans ces histoires de fritures sur les ondes. L’objectif : faire prendre conscience des multiples cas de brouillages, parfois insolites, que ses agents traitent au quotidien sur le terrain.

Pour en savoir plus, voir l'article de lemondeinformatique.fr.
9 août 2022
 Un groupe de pirates a pu contourner les protections de l'authentification multifacteurs sur Gmail
Parmi les meilleures pratiques pour la protection de la sécurité des comptes en général, le renforcement des identifiants de connexion et l'activation de la vérification en deux étapes figurent en tête de liste. Pourtant, selon la société de cybersécurité Volexity, le groupe nord-coréen SharpTongue déploie un logiciel malveillant appelé SHARPEXT qui n'a pas besoin des identifiants de connexion au compte Gmail. Au lieu de cela, il « inspecte et exfiltre directement les données » d'un compte Gmail lorsque la victime le parcourt.

Pour en savoir plus, voir l'article de developpez.com.
9 août 2022
 Découverte d'un nouveau microprogramme de dissimulation d'activité dans l'interface UEFI
Des chercheurs de Kaspersky ont découvert un microprogramme de dissimulation d'activité de l'interface UEFI (Unified Extensible Firmware Interface) des ordinateurs PC, appelé CosmicStrand. D'après ces experts, ce microprogramme s'implanterait dans les cartes-mères Gigabyte et Asus possédant la puce H81 et se caractériserait par une très forte persistance. Ils précisent également qu'il serait activement utilisé depuis la fin d'année 2016 et serait potentiellement opéré par des attaquants chinois.

Pour en savoir plus, voir l'article (en anglais) de securelist.com.
9 août 2022
 Les collectivités locales sommées d'adopter une démarche de numérique responsable
Un décret paru dernièrement au Journal Officiel enjoint les grandes collectivités locales de définir une stratégie numérique responsable. Ce décret ajoute des dispositions à la partie réglementaire du code général des collectivités territoriales. Les collectivités de plus de 50.000 habitants se doivent désormais de fixer une stratégie en matière de réduction de l'empreinte environnementale du numérique pour leurs services ainsi que des moyens précis de suivi de l'application de cette stratégie.

Pour en savoir plus, voir l'article de cio-online.com.
8 août 2022
 Cryptographie quantique : première mondiale pour la sécurisation des communications
Une équipe internationale de chercheurs, dont des membres du CEA, vient d'annoncer avoir réussi une grande première avec la mise en pratique d'un protocole de distribution quantique de clé en cryptographie quantique particulièrement sûr, utilisable pour un Internet quantique du futur. Il s'agit d'une réalisation concrète avec des paires d'ions de strontium intriqués, chacun étant piégé dans un champ électrique et refroidi par laser,idée inspirée par le protocole de chiffrement dit E91, dû à Artur Ekert, et proposée en 1991 par ce physicien polono-britannique.

Pour en savoir plus, voir l'article de futura-sciences.com.
Pour voir l'article originel (en anglais) dans la revue Nature, c'est ici.
8 août 2022
 Selon le SGDSN, la Chine « espionne à tire-larigot » en France
Lors d’une audition à huis clos à l’Assemblée nationale en juillet dernier, Stéphane Bouillon, le secrétaire général de la défense et de la sécurité nationale, ne s’est pas trop attardé sur les actions de la Russie en France. En revanche, il a été plus bavard, et aussi plus direct, à l’égard des menées chinoises en France : « De nombreux Chinois s’intéressent à nos intérêts en pratiquant l’infiltration et l’espionnage. Des chinois espionnent à tire-larigot et s’en donnent à cœur joie en matière d’entrisme, de pénétration et de tentatives de captations », a-t-il confié aux députés.

Pour en savoir plus, voir l'article de opex360.com.
8 août 2022
 Qu'est-ce que la carte vitale biométrique, qui permettrait de lutter contre la fraude fiscale ?
La carte vitale biométrique, version "numérique" de la carte classique, devrait voir le jour à "l'automne 2022", le Sénat ayant validé sa mise en place prochaine dans le cadre du projet de budget rectificatif pour 2022. Elle contiendrait plusieurs données relatives aux caractéristiques physiques de l'assuré (taille, poids, maladies, mais aussi empreintes digitales...). L'objectif : permettre aux professionnels de santé de s'assurer que la carte n'est ni fausse, ni prêtée par son vrai titulaire. Sa mise en place permettrait, selon la droite, de lutter contre la fraude fiscale.

Pour en savoir plus, voir l'article de ladepeche.fr.
7 août 2022
 La DINUM publie la version 2022 de son "socle interministériel de logiciels libres" (SILL)
Chaque année, le gouvernement publie un catalogue des logiciels libres recommandés pour l’utilisation par l’administration et tous les organismes publics, le "socle interministériel de logiciels libres" (SILL). Cette édition 2022 vient donc de voir le jour sur le site code.gouv.fr. 77 logiciels open source font ainsi leur apparition dans le catalogue, et 11 logiciels en ont été retirés.

Pour en savoir plus, voir l'article de lemondeinformatique.fr.
7 août 2022
 Le site "LeBigData.fr" publie la liste des 10 meilleurs logiciels de nettoyage pour PC
À mesure que vous utilisez votre PC, il devient de moins en moins performant. Les logiciels de nettoyage améliorent les performances d’un ordinateur en l’optimisant et en assurant son bon fonctionnement. Mais même si les fournisseurs vantent les mérites de leurs produits, toutes les solutions ne seront pas toujours efficaces. Pour guider son choix, le site "LeBigData.fr" propose un top des meilleurs logiciels pour nettoyer sa machine.

Pour en savoir plus, voir l'article de lebigdata.fr.
7 août 2022
 94 % des entreprises ont rencontré des problèmes de sécurité dans leurs API au cours de l'année écoulée
Ce dernier rapport sur l'état de la sécurité des API, publié par Salt Security, révèle également que le trafic des attaques d'API a plus que doublé au cours des 12 derniers mois, avec une augmentation de 117 %. Au cours de la même période, le trafic global des API a augmenté de 168 %, ce qui souligne l'explosion continue de l'utilisation des API par les entreprises.

Pour en savoir plus, voir l'article de developpez.com.
Pour voir le rapport de Salt Security (en anglais), c'est ici.
6 août 2022
 Quand la visite de Nancy Pelosi à Taïwan coïncide avec la signature du "Chips Act"
Officiellement, les deux événements ne sont pas liés. Mais il fallait sans doute apporter des gages de sécurité au gouvernement taïwanais pour qu’il accepte de laisser partir son champion industriel TSMC sur le sol américain. Pour l’heure, 53 % de la production mondiale de puces électroniques vient de Taïwan, plus précisément des usines de TSMC, et 16,3 % de Corée, des usines de Samsung. Cela pose un problème avant tout géographique en cas de crise. Et le "Chips Act" consiste pour les US à investir sur cinq ans 52 milliards de dollars d’argent public dans le redéploiement d’une industrie des semiconducteurs sur le sol américain.

Pour en savoir plus, voir l'article de lemagit.fr.
6 août 2022
 Les CNIL européennes adoptent un avis sur l’Espace européen des données de santé
Le Comité européen de la protection des données, conjointement avec le Contrôleur européen de la protection des données, vient d'adopter un avis sur la proposition de la Commission européenne d’un règlement relatif à la création d’un Espace européen des données de santé (European health data space ou EHDS en anglais). Dans cet avis, ils attirent l'attention des co-législateurs sur un certain nombre de préoccupations majeures concernant ce projet.

Pour en savoir plus, voir l'article de cnil.fr.
6 août 2022
 Dans la lignée de Pegasus, d’autres logiciels espions avancés prolifèrent
Pegasus fait probablement partie des logiciels espions les plus avancés et les plus puissants jamais développés par une société privée. Cette solution de cyber-renseignement du groupe israélien NSO est utilisée par de nombreux gouvernements, et continue de faire des victimes. Et comme si cela ne suffisait pas, d’autres logiciels tout aussi sophistiqués arrivent dans le paysage des spywares. Par exemple Subzero, Predator ou DevilsTongue...

Pour en savoir plus, voir l'article de lebigdata.fr.
5 août 2022
 L’algorithme SIKE censé résister aux ordinateurs quantiques cassé en une heure sur un PC monocœur
SIKE faisait partie d’un ensemble de quatre algorithmes qui restent en lice dans le concours « Post Quantum Cryptography » du NIST, organisme de standardisation américain. Ce concours, qui a démarré en 2017 avec 69 propositions, est d’une importance capitale pour le monde de l’Internet. Pour connaître les détails de cet échec retentissant, il faut lire le rapport scientifique des chercheurs de l’université KU Leuven, qui ont réalisé cette incroyable cryptanalyse. Intitulé « An efficient key recovery attack on SIDH », il nécessite toutefois des connaissances approfondies dans le domaine des courbes elliptiques.

Pour en savoir plus, voir l'article de 01net.com.
Pour voir l'article originel (en anglais), c'est ici.
5 août 2022
 Empreinte environnementale : l’Arcep veut récolter encore plus de données
L’Arcep veut élargir son périmètre de collecte des données environnementales afin d’enrichir son enquête « Pour un numérique soutenable ». Cela concerne les smartphones, les téléviseurs et les datacenters ; avec des demandes précises à chaque fois. Enfin, l’Autorité resserre l’étau autour de la consommation des box.

Pour en savoir plus, voir l'article de nextinpact.com.
5 août 2022
 Les arnaques aux cryptomonnaies prennent des proportions "hallucinantes". L’Europe ciblée
Les chercheurs de Group-IB, une société de cybersécurité basée à Singapour, ont découvert et documenté un immense réseau de sites d’investissement crypto frauduleux. Plus de 11.000 domaines ont été déployés sur le Web dans le cadre d’une vaste campagne d’arnaque aux cryptomonnaies. Ce sont autant de faux sites d’investissements qui promettent un important ROI (Retour sur Investissement) rapide. Les escrocs ciblent les internautes européens.

Pour en savoir plus, voir l'article de lebigdata.fr.
5 août 2022
 200.000 routeurs DrayTek affectés par une vulnérabilité d’exécution de code
L’équipe de recherche du Trellix Threat Labs a identifié une vulnérabilité d’exécution de code à distance non authentifiée, affectant plusieurs routeurs de la marque DrayTek. Il s'agit d'une société taïwanaise qui fabrique des routeurs pour bureaux de petite taille et bureaux à domicile (SOHO). Ils sont largement adoptés au Royaume-Uni, au Vietnam, à Taïwan, etc... DrayTek a depuis corrigé le bogue du routeur Soho, reste à mettre à jour son système d'exploitation...

Pour en savoir plus, voir l'article de undernews.fr.
4 août 2022
 IAM : le fonds d'investissements Thoma Bravo s'empare de Ping Identity
En parallèle de la présentation de ses résultats trimestriels, Ping Identity a annoncé son rachat par Thoma Bravo. Le spécialiste de la gestion des identités rejoint ainsi le portefeuille cybersécurité du fonds d'investissement. Ce dernier a racheté ces dernières années un nombre impressionnant de sociétés : Proofpoint acquis récemment, mais aussi Sophos ou Venafiv (spécialiste de la gestion des certificats de sécurité). On peut également évoquer Barracuda Networks (récemment revendu au fonds KKR), Imperva, Veracode ou encore McAfee. A noter que dans le domaine de l’IAM, Thoma Bravo dispose dans son portefeuille de Sailpoint.

Pour en savoir plus, voir l'article de lemondeinformatique.fr.
4 août 2022
 Cyberattaques contre Taïwan : le DDoS, classique de l’arsenal cyber des États
Les sites anglais de la présidence et du gouvernement taiwanais ont été victimes de cyberattaques par déni de services (DDoS). Alors que les tensions sont au plus haut avec les États-Unis suite à la visite de Nancy Pelosi à Taïwan, la Chine est fortement soupçonnée d’être le commanditaire de ces attaques. D'après Cebereason, l’attaque DDoS est un outil rapide, facile à utiliser pour obtenir des résultats rapides, et qui est largement utilisé aujourd’hui en complément d’attaques plus sérieuses et profondes. Le DDos est par ailleurs un outil classique de l’arsenal cyber des États.

Pour en savoir plus, voir l'article de undernews.fr.
4 août 2022
 Amazon déploie une plateforme open source pour la création d’applications web intuitives
Amazon présente Cloudscape Design System, sa nouvelle plateforme open source. Les utilisateurs pourront y exercer leur créativité à grande échelle et de manière inclusive. Conçue en 2016 spécialement par et pour AWS, la plateforme englobe une grande diversité de fonctionnalités et permet essentiellement de créer des applications web, sa version open source permettant à tous les utilisateurs du cloud de bénéficier du système de conception AWS.

Pour en savoir plus, voir l'article de lebigdata.fr.
4 août 2022
 Cybersécurité : Microsoft lance un nouvel outil qui vous place dans la tête d'un attaquant
Les deux nouveaux services de sécurité "Defender Threat Intelligence" et "Defender External Attack Surface Management", lancés par Microsoft, ont pour objectif d'offrir une perspective différente au défenseur. Il visent à renforcer les capacités d'intelligence du centre d'opérations de sécurité (SOC) d'une entreprise plutôt que de se concentrer uniquement sur la protection des appareils. Ces deux nouveaux produits fusionnent la technologie que Microsoft a acquise après avoir racheté la société de sécurité RiskIQ en juillet dernie.

Pour en savoir plus, voir l'article de zdnet.fr.
3 août 2022
 L'américain Telit s'empare de l'activité IoT cellulaire de Thales
Thales cède son activité de produits IoT cellulaires à la société américaine Telit, spécialisée dans l'internet des objets. L'accord porte sur l'acquisition de la division de Thales comprenant les modules, passerelles et cartes modem pour les communications cellulaires sans fil, lequel couvre les normes 4G/LTE, LPWAN et 5G. Thales, qui doit prendre une participation de 25% dans la nouvelle entité, entend se concentrer sur l'aérospatial, la défense, la sécurité et l'identité numérique.

Pour en savoir plus, voir l'article de usine-digitale.fr.
3 août 2022
 Archivage : des américains chercheurs planchent sur des disques plasmoniques
Des scientifiques de l’université américaine de Purdue (Indiana) mettent au point un disque optique 40 % plus capacitif qu’un Blu-Ray et 143 fois plus rapide. Sa surface est composée de nano antennes qui réfléchissent une couleur particulière selon leur orientation. Les chercheurs parlent de générer des couleurs « plasmoniques », des nanoparticules métalliques et des « métasurfaces » ultrafines pour stocker des bits d’information sur un segment de surface de quelques nanomètres.

Pour en savoir plus, voir l'article de lemagit.fr.
3 août 2022
 IoT : Selon Bloomberg, Semtech négocie le rachat de Sierra Wireless
Le marché de l’IoT est en phase de consolidation, se traduisant par des rachats. Dernier en date, Semtech, société californienne de semi-conducteurs, serait selon l’agence Bloomberg en pourparlers avancés pour acquérir Sierra Wireless. Cette dernière est d’origine canadienne (basée à Vancouver), et fournit des composants et des plateformes pour l’Internet des objets. Semtech quant à elle est spécialisée dans les environnements LoraWAN et produit des puces radios.

Pour en savoir plus, voir l'article de lemondeinformatique.fr.
3 août 2022
 La plateforme open source Teleport d'accès sécurisé à l'IT sort sa version 10
Teleport est une plateforme qui permet d'accéder de manière simple et sécurisée à l'infrastructure IT. Elle permet entre autres de gérer les accès aux serveurs, bases de données, applications, bureau et à Kubernetes. Teleport est open source et disponible en version Community et Entreprise. Sa fonctionnalité phare est la solution d'authentification sans mot de passe, qui remplace les noms d'utilisateur et les mots de passe par une méthode d'authentification plus sécurisée soutenue par la biométrie.

Pour en savoir plus, voir l'article de developpez.com.
2 août 2022
 L'énigme de décryptement de la semaine ? voici un chiffre japonais... Le "JN 25"
Publiée cette semaine sur notre fil Twitter, une énigme fondée sur un chiffre japonais JN 25.
Voici l'énigme : ici.

Saurez-vous la décrypter ? Il s'agit de trouver la bonne météo indiquée dans le message. Est-ce "ensoleillée", "orage grêle", "nuageuse" ou "pluvieuse" ?
Pour vous aider, vous pouvez consulter la page wikipedia dédiée à ce chiffre ici.

Pour consulter le fil Twitter de l'ARCSI, c'est ici.

Pour voir la solution de l'énigme précédente, publiée le 25 juillet, c'est ici.
2 août 2022
 EBIOS 2010 tire sa révérence après plus de 12 ans de bons et de loyaux services
Face à l’évolution des menaces et des méthodes d’attaque, EBIOS 2010 n’est plus la méthodologie d’analyse de risques privilégiée par l'ANSSI pour appréhender la complexité des risques de SSI. Nouvelle déclinaison, EBIOS Risk Manager (EBIOS RM) permet une approche efficace plutôt qu’exhaustive rompant avec les méthodes d’analyse de risque quantitatives traditionnelles.

Pour en savoir plus, voir l'article de l'ANSSI.
2 août 2022
 Un iPhone "en principe éteint" peut aussi se faire pirater
Le problème réside dans la fonctionnalité d'économie d’énergie (LPM) de l’iPhone, introduite avec iOS 15, et dans le fait que lorsque cette fonctionnalité est activée, certaines puces de communication du smartphone continuent de fonctionner. Elle permet des options comme "Localiser Mon iPhone", qui peut continuer à pister et à fonctionner même lorsque le téléphone est éteint.

Pour en savoir plus, voir l'article de avast.com.
2 août 2022
 Samsung va produire en masse les premières puces gravées en 3 nm
Samsung Electronics vient d’officialiser le lancement de sa production à l’échelle mondiale de puces gravées en 3nm, devenant ainsi le premier fabricant de puce au monde à franchir cette étape. Avec cette nouvelle percée, le géant sud-coréen coupe l’herbe sous le pied du taïwanais TSMC, son grand rival qui s’est hissé au rang de services de fonderie de puces la plus avancée. Jusqu’à présent, la génération actuelle de puces ne pouvait atteindre qu’une finesse de gravure de 5 nanomètres. Les performances annoncées sont des gains de performances de 23% et une réduction de la consommation d’énergie de 45%.

Pour en savoir plus, voir l'article de objetconnecte.com.
1er août 2022
 Comment la sécurité informatique nomme-t-elle les groupes malveillants ?
Pour lutter contre les attaquants, encore faut-il savoir les nommer. Dans le monde de la sécurité informatique, les noms pullulent. Qu’il s’agisse de noms de malwares, de groupes ou d'opérations, le secteur a recours depuis une vingtaine d’années à des noms de code pour désigner les groupes d’attaquants. Et difficile de ne pas s'y perdre, dans la jungle des Fancy bears, Void Balaur et autres Charming Kittens.

Pour en savoir plus, voir l'article de zdnet-fr.
1er août 2022
 La bataille de l'Arctique pour le contrôle des câbles sous-marins ne fait que commencer
Le réchauffement de l’Arctique ouvre de nouvelles voies aux câbles de fibre optique sous-marins par lesquels transite la grande majorité du trafic internet. Mais avec la guerre en Ukraine, cette zone longtemps marquée par une coopération pacifique entre les grandes puissances devient un espace sous haute tension.

Pour en savoir plus, voir l'article de latribune.fr.
1er août 2022
 Cloud Act : Royaume-Uni et États-Unis vont partager les données de leurs citoyens
Avec le Cloud Act, les États-Unis et le Royaume-Uni ont signé un accord d'accès aux données qui permettra à partir du 3 octobre 2022 aux forces de l'ordre de chaque pays de demander à l'autre les données des utilisateurs. Cet accord doit leur permettre d'accéder plus rapidement aux informations et aux preuves détenues par les plateformes.

Pour en savoir plus, voir l'article de siecledigital.fr.
31 juillet 2022
 Publication des attributions du ministre en charge de la transition numérique et des télécommunications
Le décret du 29 juillet 2022 relatif aux attributions de Jean-Noël BARROT, ministre délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargé de la transition numérique et des télécommunications, a été publié au Journal Officiel.

Pour en savoir plus, voir le texte publié sur legifrance.gouv.fr.
31 juillet 2022
 Une Chinoise qui a passé des années à falsifier Wikipédia découverte par hasard
C'est une des plus grandes supercheries de l'histoire de Wikipedia. Une Chinoise cachée derrière le pseudo Zhemao a en effet passé des années à falsifier l'encyclopédie en ligne, avant d'être démasquée en juin 2022. C'est le romancier chinois Yifan qui a signalé l'imposture en faisant des recherches pour un futur roman, et en tombant sur l'un des 206 faux articles que la femme a postés sur la version chinoise de Wikipédia et falsifiant l'histoire russe.

Pour en savoir plus, voir l'article de vanityfair.fr.
31 juillet 2022
 Retour sur l'accord signé par l'Anssi et le CEA sur la sécurité des logiciels
L'Agence nationale la sécurité des systèmes d'information (Anssi) et le Commissariat à l'énergie atomique (CEA) ont annoncé fin juin la signature d'un accord-cadre d'une durée de trois ans. L'objectif principal de cette collaboration est de développer et mettre en oeuvre de "nouveaux outils et approches" pour vérifier l'absence de vulnérabilités dans "les systèmes numériques" en phase de conception et d'intégration. L'approche théorique sera chapeautée par l'école française de raisonnement mathématiques des méthodes formelles.

Pour en savoir plus, voir l'article de usine-digitale.fr.
30 juillet 2022
 Emmanuel Chiva est nommé délégué général pour l'armement en remplacement de Joël Barre
Normalien, docteur en biomathématiques et entrepreneur, Emmanuel Chiva, 53 ans, dirigeait depuis 2018 l'Agence de l'innovation de défense (AID). Il sera secondé par l'ingénieur général de l'armement Thierry Carlier, nommé directeur général adjoint de la DGA. Capitaine de vaisseau dans la réserve, le nouveau DGA est passé par l’École normale supérieure [ENS], où il a obtenu son doctorat en biomathématiques, et auditeur de la 49e Session Nationale Armement et économie de défense de l’Institut des Hautes Études de la Défense nationale [IHEDN, session ex-CHEAr].

Pour en savoir plus, voir les articles de opex360.com et lefigaro.fr.
30 juillet 2022
 La commission européenne publie ses données relatives à l’économie et la société numériques
La Commission européenne a publié ses données relatives à l'économie et à la société numériques montrant les progrès menés par les Etats membres dans ce domaine. Dans l'ensemble le niveau est en amélioration constante mais il reste des sujets de vigilence : la 5G, les compétences IT et la numérisation des PME-PMI.

Pour en savoir plus, voir l'article de lemondeinformatique.fr.
30 juillet 2022
 La Task Force nationale de lutte contre les arnaques publie son nouveau guide de prévention
La Task Force nationale de lutte contre les arnaques, composée de services de l’État et des autorités de contrôle, publie la version 2022 de son guide de prévention afin de renforcer la protection des consommateurs et des entreprises et de rappeler les attitudes réflexes qu’il convient d’adopter pour déjouer de potentielles escroqueries.

Pour en savoir plus, voir son communiqué de presse.
Pour télécharger le guide 2022, c'est ici.
29 juillet 2022
 Généralisation de la censure automatisée : le Conseil constitutionnel est saisi
L’Assemblée nationale a adopté définitivement la proposition de loi relative à la « diffusion de contenus à caractère terroriste en ligne », issue du règlement européen de censure terroriste. En réaction, des députés viennent de saisir le Conseil constitutionnel. Il s’agit de l’ultime recours pour empêcher l’application de ce dispositif déjà jugé attentatoire à la liberté d’expression et qui mettrait fin à l’internet décentralisé.

Pour en savoir plus, voir l'article de globalsecuritymag.fr.
29 juillet 2022
 À deux ans des JO de Paris, des inquiétudes planent sur la cybersécurité
Paris a vu grand pour les Jeux olympiques et paralympiques (JOP) 2024. Encore faut-il réussir à sécuriser ses ambitions. Or, à deux ans de l'ouverture des JOP de Paris, les chiffres donnent le tournis: 7,3 milliards d'euros de budget, 13,4 millions de billets mis en vente, 600.000 spectateurs attendus pour la cérémonie d'ouverture sur les quais de Seine et près de 40 sites en Île-de-France et en régions. Et le risque cyber est partout. Billetterie, données personnelles, systèmes de retransmission vidéo ou de surveillance. Autant de risques d'attaques informatiques qu'il faut prévenir.

Pour en savoir plus, voir l'article de slate.fr.
29 juillet 2022
 Fusion de SSII : Sopra Steria va s'emparer de CS Group
L'historique SSII CS Group positionnée dans les services, le conseil et l'intégration de systèmes dans les secteurs de la défense, de la sécurité, de l'espace et de l'énergie va être croqué par Sopra Steria. Yazid Sabeg, président du conseil d'administration de CS Group et Eric Blanc-Garin son directeur général, cèdent l'intégralité de leurs parts.

Pour en savoir plus, voir l'article de lemondeinformatique.fr.
28 juillet 2022
 La Cnil perplexe sur les outils de vérification de l'âge utilisés par les sites
Suite à l'analyse de différents systèmes de vérification de l'âge dans le but de contrôler l'accès à des sites web interdits aux mineurs, la commission nationale de l'informatique et des libertés a rendu sa position. Comment mettre en place un système permettant de vérifier l'âge d'un internaute pour s'assurer qu'il puisse visiter un site interdit aux moins de 18 ans tout en assurant le respect de la vie privée, voilà l'exercice périlleux qu'elle a tenté d'exécuter dans son avis.

Pour en savoir plus, voir l'article de lemondeinformatique.fr.
28 juillet 2022
 Les hackers mettent moins d'un quart d'heure pour exploiter une faille tout juste publiée
A en croire le dernier rapport en date de l’Unit 42 publié par l’équipe d’experts de la société spécialisée en cybersécurité Palo Alto Networks, les hackers sont aux aguets et surveillent constamment les publications de bulletins de sécurité. Leur objectif est évidemment d’obtenir ainsi un moyen simple et rapide d’accéder à des réseaux d’entreprise et de tenter des exécutions de code à distance, et ce le plus rapidement possible.

Pour en savoir plus, voir l'article de 01net.com.
28 juillet 2022
 Solution de protection des données (DLP) : Microsoft éteint WIP pour allumer Purview
Microsoft change son approche en matière de prévention des pertes de données (DLP). La solution WIP va laisser progressivement sa place à la suite Cloud Purview. WIP était arrivé sur Windows 10 avec l’Anniversary Update (version 1607). À la clé, deux fonctionnalités principales : séparer les données personnelles des données professionnelles, et protéger ces dernières. Microsoft invite désormais à se tourner vers la suite cloud Purview. Celle-ci comprend une brique DLP à la couverture potentiellement plus large que WIP (macOS, Chrome, SaaS tiers).

Pour en savoir plus, voir l'article de itespresso.fr.
27 juillet 2022
 Le MIT affirme avoir trouvé un nouveau semi-conducteur, meilleur que le silicium !
Le silicium est désormais au cœur de notre quotidien. Dans nos smartphones. Dans nos panneaux solaires photovoltaïques. Il n'est pourtant pas parfait. Mais ce nouveau matériau étudié de près par des chercheurs pourrait bien l'être. Son nom, l'arséniure de bore cubique. Il présente, d'après les chercheurs du MIT, une conductivité thermique presque dix fois supérieure à celle du silicium, et une grande mobilité aussi bien des électrons que des « trous » -- leurs alter ego positifs.

Pour en savoir plus, voir l'article de futura-sciences.com.
27 juillet 2022
 Les acteurs satellitaires Eutelsat et OneWeb se rapprochent
Les Européens se mettent en ordre de bataille sur le segment de l’Internet par satellite. Le Français Eutelsat vient d’annoncer la tenue de discussions quant à une fusion avec l'acteur britannique OneWeb, un spécialiste des constellations de satellites en orbite basse. Mais après de premiers lancements en 2019, cette société qui entend mettre 648 satellites en orbite a connu d’importantes difficultés financières. Eutelsat, de son côté, fait dans le géostationnaire, avec une flotte de 36 satellites. La nouvelle entité compte faire armes égales avec l’Américain Starlink.

Pour en savoir plus, voir l'article de linformaticien.com.
27 juillet 2022
 Typosquatting : près de 1.000 noms de domaine en ".fr" gelés par l'Afnic
Depuis l'Indonésie, un utilisateur a acheté auprès d'un registrar allemand 967 noms de domaine en ".fr", créés le 19 juillet 2022. Clairement assimilables à du typosquatting, cette technique très connue consiste à changer un caractère du nom d'une entreprise ou d'une organisation pour se faire passer pour un organisme légitime. Les noms de domaine ont été gelés par l'Afnic mais sont toujours actifs et pointent sur des pages contenant des liens sur lesquels il est hautement recommandé de ne pas cliquer.

Pour en savoir plus, voir l'article de lemondeinformatique.fr.
27 juillet 2022
 Le FBI soupçonne Huawei d’espionner des bases militaires américaines
Huawei est à nouveau soupçonné d’espionnage. D’après une longue enquête menée par le FBI, le géant chinois serait capable d’intercepter les communications de plusieurs bases militaires situées dans des zones rurales, grâce à certaines tours de télécommunications qui embarquent des équipements réseau.. Le groupe pourrait notamment interférer avec des échanges liés à l’armement nucléaire américain.

Pour en savoir plus, voir l'article de 01net.com.
26 juillet 2022
 L'énigme de décryptement de la semaine ? voici un chiffre de ADFGVX....
Publiée cette semaine sur notre fil Twitter, une énigme fondée sur un chiffre de ADFGVX.

Saurez vous chiffrer le message "le secret est kaiser22" avec le carré de Polybe ci dessous et la clef GEORPA?

Quelle est la bonne réponse ?

1)XGFXXVXAVFXAGAAADAAADAXDAAFDVXFVVVDGX
2)XGFXXVAFFXAFVGAADAAVAGAADADAAFDVFVVVDG

Pour consulter le fil Twitter de l'ARCSI, c'est ici.

Pour voir la solution de l'énigme précédente, publiée le 20 juillet, c'est ici.

26 juillet 2022
 Microsoft bloquera les macros Office par défaut à partir du 27 juillet
Afin de lutter contre les ransomwares et d'autres logiciels malveillants, Microsoft a confirmé cette semaine qu'il commencerait à bloquer par défaut les macros Visual Basic Applications (VBA) dans les applications Office à partir de ce 27 juillet, après avoir discrètement annulé le changement plus tôt ce mois-ci. La société a mis à jour sa documentation avec des instructions étape par étape expliquant comment Office détermine s'il faut bloquer ou exécuter des macros, quelles versions d'Office sont affectées par les nouvelles règles, comment autoriser les macros VBA dans les fichiers de confiance et comment se préparer au changement.

Pour en savoir plus, voir l'article de developpez.com.
26 juillet 2022
 L'EGE explique l’apport du cyber dans les techniques d’investigation
Les notions de cybercriminalité et de cyberinvestigation sont étroitement liées à celle du cyberespace, devenu le théâtre d’attaques de plus en plus nombreuses, complexes et difficiles à tracer, au service d’intérêts politiques et économiques. Pour faire face à ces nouvelles menaces, la France a développé son cadre juridique de manière à encadrer ces nouveaux délits et les services d’investigation ont dû faire évoluer leurs modes opératoires.

Pour en savoir plus, voir l'article de l'Ecole de Guerre Economique.
26 juillet 2022
 Google veut moderniser C++ avec son nouveau langage Carbon
Au fil des années Google s’est essayé aux applications mobiles, aux infrastructures (avec Kubernetes et Anthos), aux systèmes d’exploitation (Android, ChromeOS, Fuchsia) mais aussi aux langages de programmation (avec AppSheet pour le No-Code mais surtout Golang, Kotlin et Dart). Pour Google, un langage informatique doit être vivant et peut toujours être amélioré. Y compris l’incontournable ancêtre C++.

Pour en savoir plus, voir l'article de informatiquenews.fr.
25 juillet 2022
 Luna, un nouveau ransomware qui s’attaque à VMware ESXi, Linux et Windows
Ce nouveau ransomware, nommé Luna et repéré par les chercheurs en sécurité de chez Kaspersky, est capable de chiffrer les machines sous Windows et Linux, mais également l'ensemble des machines virtuelles sous VMware ESXi. Il utilise un schéma de chiffrement peu courant qui combine un échange de clés Diffie-Hellman avec une courbe elliptique Curve25519, avec l'algorithme de chiffrement symétrique AES.

Pour en savoir plus, voir l'article de it-connect.fr.
25 juillet 2022
 Les outils de protection traditionnels ont un taux d'échec de 60 % contre les ransomwares
Les dangers associés aux attaques par ransomware ont incité de nombreuses organisations à adopter une large gamme d'outils de protection (chiffrement, sauvegarde et récupération, outils de masquage des données), dans le but de les aider à repousser ces attaques. Malgré cela, d'après le "Ransomware Research Report" de Titaniam, environ 60 % des organisations qui ont eu la prévoyance d'adopter l'utilisation de tels outils se sont retrouvées aux prises avec des attaques de ransomware qui ont réussi à passer outre leurs systèmes de défense.

Pour en savoir plus, voir l'article de it-connect.fr.
Pour lire l'article originel de Titaniam en anglais, titaniam.io.
25 juillet 2022
 Start-up et entrepreneurs plaident pour un "Buy European Tech Act"
Une soixantaine de start-up et une quinzaine de fédérations cosignent, aux côtés de l'eurodéputée Stéphanie Yon-Courtin, une tribune demandant à privilégier des acteurs européens lors d'appels d'offres. Un "Buy European Tech Act" qui permettrait à l'écosystème technologique de l'union de continuer à se développer pour venir concurrencer des pays comme les Etats-Unis et la Chine.

Pour en savoir plus, voir l'article de usine-digitale.fr.
24 juillet 2022
 Le consortium du "Health Data Hub" français lance le projet d’espace de données de santé européen
Lauréat de l’appel à projets de la Commission européenne lancé fin 2021, le consortium de partenaires mené par "Health Data Hub" s’attellera dès septembre à la construction de la toute première version du futur Espace européen des données de Santé. La création de cet espace européen est en effet identifié comme l’une des priorités de la politique européenne de santé. Cette version préfiguratrice permettra ainsi de répondre aux grands défis de l’accès aux données de santé en Europe, au service de tous les citoyens.

Pour en savoir plus, voir l'article de alliancy.fr.
24 juillet 2022
 Le suédois ABB s'associe à Red Hat pour renforcer ses solutions d'automatisation industrielle
ABB et Red Hat font cause commune dans l'industrie 4.0. Le premier va s'appuyer sur les solutions Enterprise Linux du second pour accélérer le déploiement de l'analyse de données en périphérie des réseaux industriels dans les usines. La stratégie d'ABB cherche à évoluer vers des machines plus connectées et donc plus "intelligentes", et se fondera ainsi sur le tout open source Red Hat.

Pour en savoir plus, voir l'article de usine-digitale.fr.
24 juillet 2022
 Le groupe de cybercriminels EvilNum s’attaque aux banques et aux cryptomonnaies
Les chercheurs en cybersécurité de Proofpoint ont publié de nouvelles informations sur le groupe d’acteurs de la menace TA4563 (AKA EvilNum/ DeathStalker). Ce groupe de cybercriminels a ciblé les entités financières et les établissements d’investissement européens avec des logiciels malveillants, en particulier dans le secteur de la finance décentralisée (DeFi) dont les opérations soutiennent l’échange de devises et les cryptomonnaies.

Pour en savoir plus, voir l'article de globalsecuritymag.fr.
23 juillet 2022
 L'OTAN annonce la création d'une formation de réponse cyberdéfense rapide
Face à l'explosion des risques et menaces géopolitiques, l'OTAN annonce la création d'une formation de réponse cyberdéfense rapide. Prenant pour toile de fond la guerre en Ukraine et les multiples opérations malveillantes et cyberattaques menées ou soutenues, directement ou indirectement, par la Russie, l'organisation a adopté les principes de riposte collective et à 360 degrés via une action cyberdéfense coordonnée.

Pour en savoir plus, voir l'article de lemondeinformatique.fr.
23 juillet 2022
 LeMagIT.fr décrypte l'annonce de Microsoft concernant son "Cloud for Sovereignty"
En mai 2022, Microsoft, avait annoncé une série de mesures pour se conformer aux contraintes juridiques et aux demandes des clients et des fournisseurs de cloud européens. Outre la main tendue aux fournisseurs de cloud européens, la firme de Redmond avait présenté des principes adaptés aux demandes des entreprises et des gouvernements européens. Deux mois plus tard, elle annonce "Cloud for Sovereignty", une offre en droite lignée de cette prise de parole. Le site LeMagIT.fre décrypte la solution qui semble porter à confusion et qui ne permet pas aux clients potentiels de se départir des lois extraterritoriales américaines.

Pour en savoir plus, voir l'article de lemagit.fr.
23 juillet 2022
 Un plug-in WordPress bogué permet une prise de contrôle complète d'un site, sans correctif possible
WordPress est connu pour être le système de gestion de contenu (CMS) le plus utilisé au monde, mais il est également connu pour être le CMS le plus ciblé par les pirates. L'équipe Wordfence de la société de cybersécurité WordPress Defiant a mis en garde la semaine dernière contre une augmentation des attaques ciblant une vulnérabilité non corrigée dans le module complémentaire Kaswara du plug-in WordPress WPBakery Page Builder. Des milliers de sites utilisant ce CMS ont concernés.

Pour en savoir plus, voir l'article de developpez.com.
22 juillet 2022
 La Commission européenne en justice pour avoir utilisé Amazon Web Services
Un citoyen allemand a déposé un recours devant le tribunal de l'UE contre la Commission européenne pour violation du Règlement général sur la protection des données (RGPD). Bruxelles est accusée de violer la législation sur les données personnelles en confiant à Amazon Web Services (AWS), le soin d'héberger le site web de la Conférence sur l'avenir de l'Europe, devant donner la parole aux citoyens européens via une grande consultation publique. Lors de l'inscription à la plateforme, les données personnelles fournies peuvent en effet être transférées vers les Etats-Unis.

Pour en savoir plus, voir l'article de usine-digitale.fr.
22 juillet 2022
 Panique après le vol d'un ordinateur lors d'un sommet de l'OTAN à Paris
Lors d'une réunion de l'OTAN tenue au Cercle national des armées le 1er juillet à Paris, l'ordinateur d'un officier allemand contenant des informations confidentielles a été dérobé. L'incident a suscité l'inquiétude et des tensions entre alliés. L'auteur du vol a été identifié par les gendarmes de la section de recherches de Paris et ne semble pas avoir agi dans le cadre d'une opération d'espionnage.

Pour en savoir plus, voir l'article de francais.rt.com.
22 juillet 2022
 La Cnil entérine l'interdiction des caméras "intelligentes" pour détecter les infractions
Les pouvoirs publics ne peuvent pas déployer de caméras "intelligentes" pour détecter des infractions dans l'espace public, juge la Cnil dans une prise de position. Une loi devra être adoptée pour qu'ils puissent le faire. En revanche, les caméras utilisées à des fins statistiques peuvent être utilisées sans encadrement supplémentaire.

Pour en savoir plus, voir l'article de usine-digitale.fr.
21 juillet 2022
 Technologies : la Russie admet être étouffée par les sanctions internationales
Vladimir Poutine a admis cette semaine, lors d’une réunion du Conseil présidentiel, que le pays était confronté à des difficultés « colossales » dans l’industrie des hautes technologies. La faute aux sanctions internationales imposées par l’Union européenne, les Etats-Unis ou encore le Japon. Il veut pousser l’utilisation et le développement des technologies souveraines pour surmonter ces sanctions.

Pour en savoir plus, voir l'article de linformaticien.com.
21 juillet 2022
 Le standard radio à l’usage de l'IoT "DECT-2020 NR" fait un pas de plus vers l’industrialisation
Ce standard radio à l’usage des réseaux d’objets connectés, normalisé en 2020 par l’organisme européen ETSI, passe un nouveau cap. Complément de la 5G, il concurrence les réseaux longue portée et à faible consommation tels le LTE-M et NB-IoT. Cette technologie récente repose sur des réseaux maillés IoT qui nécessitent un faible délai de transmission des données dans les environnements très denses d’objets connectés.

Pour en savoir plus, voir l'article de itsocial.fr.
21 juillet 2022
 Fondation Eclipse : Microsoft rejoint les groupes de travail Jakarta EE et MicroProfile
Microsoft a annoncé avoir rejoint les groupes de travail Jakarta EE et MicroProfile au sein de la Fondation Eclipse. Pour rappel, Jakarta EE est une spécification qui enrichit Java SE de bibliothèques logicielles destinées aux applications des entreprises, une version open source de Java EE. MicroProfile, lui, est un projet pour définir un modèle de programmation afin de développer des applications établies sur des microservices dans un environnement Java d’entreprise.

Pour en savoir plus, voir l'article de lemagit.fr.
20 juillet 2022
 L'énigme de décryptement de la semaine ? voici un chiffre de ÜBCHI....
Publiée cette semaine sur notre fil Twitter, une énigme fondée sur un chiffre de ÜBCHI, utilisé par les Allemands entre 1912-1914.

Le code à secret est : LT EATCEE SSP TRAAFCET
Saurez vous le décrypter? La clef est le nom d'une association crée en 1928 que vous connaissez bien...

Un indice : la réponse est l'une des suivantes : PATEFACTA - NOVEMBER - LIMAMIKE

Pour consulter le fil Twitter de l'ARCSI, c'est ici.
Pour voir la solution de l'énigme, c'est ici.

Pour voir la solution de l'énigme précédente, publiée le 14 juillet, c'est ici.

20 juillet 2022
 Le protocole HTTP/3, dont Google est à l'origine, est en passe de devenir un standard IETF
Début juin, l’IETF (Internet Engineering Task Force) a formalisé les spécifications de HTTP/3 sous forme de RFC (Request for Comments). Il s’appuie sur QUIC (Quick UDP Internet Connections), protocole de transport né à l’initiative de Google. Les travaux avaient officiellement débuté voilà une dizaine d’années. Comme HTTP/2, HTTP/3 implémente TLS (1.3 minimum) pour sécuriser les échanges. En revanche, il n’utilise pas TCP.

Pour en savoir plus, voir l'article de silicon.fr.
20 juillet 2022
 L'ANSSI s'exprime sur la sélection par le NIST de futurs standards en cryptographie post-quantique
"Le NIST a publié le 6 juillet dernier une liste de quatre premiers algorithmes vainqueurs d’une campagne initiée en 2016 pour la standardisation d’algorithmes cryptographiques post-quantiques (c’est-à-dire conjecturés résistants aux ordinateurs quantiques). Ces futurs standards devraient devenir des options par défaut préconisées par l’ANSSI pour la sélection d’algorithmes post-quantiques dans la majorité des produits de sécurité - sous réserve que ces algorithmes post-quantiques soient combinés avec des algorithmes classiques éprouvés à travers des mécanismes hybrides."

Pour en savoir plus, voir l'article de l'ANSSI.
20 juillet 2022
 La cour des comptes a remis ses conclusions concernant Cybermalveillance.gouv.fr
La 4e chambre de la Cour des comptes a remis ses observations définitives concernant Cybermalveillance.gouv.fr. Ses princiaples recommandations sont de renforcer la notoriété du Groupement d'Intérêt Public, densifier ses liens avec tous les acteurs étatiques, renforcer sa gestion administrative, mettre en place des ressources pérennes. Vous ne savez pas ce qu'est le GIP Cybermalveillance.gouv.fr ? alors venez sur la page d'accueil du site de l'ARCSI, voir la vidéo qui lui est consacrée dans la rubrique "la parole est aux associations".

Pour en savoir plus, voir l'article de cybermalveillance.gouv.fr.
20 juillet 2022
 Retbleed : une faille des CPUs de type "Spectre" qui déjoue les défenses établies
"Retbleed" contourne les protections mises en place face aux failles de type "Spectre" (manipulation de l’exécution spéculative sur les CPUs). L'une de ces variantes, "Spectre-BTI" (branch target injection), a été étudiée par deux chercheurs de l’École polytechnique fédérale de Zurich. Elle exploite les branchements indirects pour contrôler l’exécution spéculative. Et d'après ces chercheurs, cette faille déjoue la méthode de contournement qui s’est imposée de facto, "retpoline".

Pour en savoir plus, voir l'article de silicon.fr.
19 juillet 2022
 Le DHS américain affirme que la vulnérabilité Log4J restera un danger pendant de nombreuses années
Chargé d’enquêter sur la vulnérabilité découverte fin 2021 dans la bibliothèque Java Log4J, le Cyber Safety Review Board (CSRB) du Department of Homeland Security (DHS) américain affirme dans un rapport récemment publié que celle-ci restera un danger pendant de nombreuses années. 19 recommandations ont été formulées afin d'accroître la vigilence des organisations contre Log4j, en particulier dans le domaine open source où les développeurs de logiciels disposent de « ressources limitées ».

Pour en savoir plus, voir l'article de directioninformatique.com.
19 juillet 2022
 Le processeur surpuissant Apple M1 est enfin disponible sur le cloud d'Amazon AWS
Amazon Web Services (AWS) a lancé les instances Mac pour la première fois en 2020. Cependant, la version de cette période se fondait encore sur le matériel Intel d’Apple. Il s’agissait d’un processeur Intel Core i7 à six cœurs et 32 Go de RAM. Dorénavant, AWS propose le processeur M1 d’Apple, via des ordinateurs Mac mini dédiés sur le cloud. Les développeurs Mac désirant travailler avec le nouveau matériel M1 d’Apple peuvent ainsi avoir accès au système sur puce (SoC) d’Apple.

Pour en savoir plus, voir l'article de lebigdata.fr.
19 juillet 2022
 Artemis.IA, la plateforme de big data des armées, entre en phase d'industrialisation
Co-développée par Thales et Atos, la plateforme de gestion des données pour les armées françaises, baptisée Artemis.IA, entre en phase d'industrialisation. Son but : collecter et transmettre rapidement des informations à des fins de prise de décisions. Artemis.IA, acronyme pour "Architecture de traitement et d’exploitation massive de l’information multi-sources et d’Intelligence artificielle" a pour but de traiter la quantité astronomique de données générées par les équipements militaires et leurs capteurs.

Pour en savoir plus, voir l'article de usine-digitale.fr.
18 juillet 2022
 Une nouvelle attaque peut révéler l'identité des utilisateurs anonymes sur tous les principaux navigateurs
Des chercheurs de l'Institut de technologie du New Jersey (NJIT) mettent en garde cette semaine contre une nouvelle technique que les attaquants pourraient utiliser pour désanonymiser les visiteurs d'un site Web et potentiellement faire le lien avec de nombreux éléments de la vie numérique de leurs cibles. Les chercheurs du NJIT présenteront ces résultats au symposium Usenix sur la sécurité qui se tiendra à Boston le mois prochain.

Pour en savoir plus, voir l'article de developpez.com.
18 juillet 2022
 Retour sur le choix du NIST de nouveaux algorithmes pour la cryptographie post-quantique : l’algorithme FALCON
Début juillet, le NIST a annoncé avoir choisi quatre premiers algorithmes de chiffrement pour lutter contre de futures attaques quantiques. Il se nomment CRYSTALS-Kyber, CRYSTALS-Dilithium, FALCON et SPHINCS+. Parmi eux, l'algorithme FALCON a été co-développé par Thales avec des partenaires du monde académique et du secteur industriel de France (Université Rennes 1, PQShield SAS), de Suisse (IBM), du Canada (NCC Group) et des États-Unis (Brown University, Qualcomm). Il a été sélectionné par le NIST avec deux autres algorithmes comme norme pour les signatures numériques, et retenu pour son haut niveau de sécurité et sa remarquable efficacité spectrale.

Pour en savoir plus, voir l'article de thalesgroup.com.
18 juillet 2022
 "La reprise après une attaque par ransomware", à lire pour récupérer facilement après l'attaque
"La reprise après une attaque par ransomware pour les Nuls" présente une approche intelligente pour récupérer facilement après une attaque par ransomware que vous ne pouvez éviter. Vous commencerez par examiner la menace que pose le ransomware, puis vous verrez comment créer un plan de reprise cohérent et maintenir la sécurité de votre organisation. Cette édition spéciale Rubrik rédigée par Michael G. Solomon est téléchargeable en français.

Pour en savoir plus et le télécharger, c'est ici.
18 juillet 2022
 41 % des entreprises n'ont pas une grande confiance dans la sécurité de leurs logiciels open source
Selon un nouveau rapport de la société de sécurité des développeurs Snyk et de la Fondation Linux, Le projet moyen de développement d'applications comporte 49 vulnérabilités et 80 dépendances directes (code open source appelé par un projet). De plus, le temps nécessaire pour corriger les vulnérabilités des projets n'a cessé d'augmenter, faisant plus que doubler entre 2018 et 2021.

Pour en savoir plus, voir l'article (en anglais) de snyk.io repris par developpez.com.
17 juillet 2022
 Stratégie pour la donnée : les CNIL européennes se prononcent sur le Data Governance Act et le Data Act
Le 5 mai 2022, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (EDPS) ont adopté un avis sur la proposition de règlement européen sur les données (Data Act). Cet avis, qui succède à celui de mars 2021 sur la gouvernance des données (DGA), marque une étape supplémentaire dans la construction d’une économie européenne de la donnée respectueuse des libertés et droits fondamentaux. En France, la Cnil a réagi et donné son avis portant sur les enjeux visant à favoriser le partage des données personnelles et non personnelles en mettant en place des structures d’intermédiation, et sur les mesures pour faciliter le partage des données entre entreprises et consommateurs.

Pour en savoir plus, voir l'article de lemondeinformatique.fr et l'avis de la CNIL.
17 juillet 2022
 La ville de Taïwan débranchée du réseau cloud mondial chinois d’Alibaba
Pour des questions « d’ajustement commercial », Taïwan est mise à part du réseau privé d’Alibaba Cloud. De nombreux clients ne peuvent plus s'y connecter. Les utilisateurs locaux d’Alibaba devront ainsi chercher asile ailleurs pour leurs données. Il se servaient du réseau mondial d’Alibaba Cloud (son "Cloud Enterprise Network", ou CEN) pour joindre différents réseaux et installations, ainsi que pour stocker des données.

Pour en savoir plus, voir l'article de lebigdata.fr.
17 juillet 2022
 ChromeOS Flex, l’OS de Google pour les vieux PC et Mac, est disponible en version stable
Introduit en février en accès anticipé et limité, ChromeOS Flex revient sur le devant de la scène en version stable, accessible gratuitement, à tous, professionnels comme grand public. Son objectif ? Donner une seconde vie à votre vieux PC ou Mac en le transformant en Chromebook. Google indique avoir testé la compatibilité de son système avec plus de 400 périphériques – PC et Mac.

Pour en savoir plus, voir l'article de 01net.com ou celui de macg.com.
16 juillet 2022
 L'application de carte d'identité numérique arrivera sur nos smartphones en 2023
En parallèle du déploiement de la carte nationale d’identité électronique (CNIe), qui est en cours, l’administration prépare l’arrivée d’une application mobile dédiée. C’est au cours du premier trimestre 2023 que ce programme fera ses débuts en France, à la fois sur Android et iOS. Il coïncidera avec la généralisation de la carte nationale d’identité électronique, indispensable pour que l’application du smartphone y puise les informations stockées sur la puce électronique.

Pour en savoir plus, voir l'article de numerama.com.
16 juillet 2022
 Un phishing à grande échelle utilise des techniques de proxy HTTPS pour détourner des comptes Office 365
Des chercheurs en sécurité de Microsoft ont découvert qu’une campagne de phishing à grande échelle utilisait des techniques de proxy HTTPS pour détourner des comptes Office 365. Depuis septembre 2021, l'attaque, qui parvient à contourner l'authentification multifacteur (MFA), a ciblé plus de 10 000 entreprises. Les pages de phishing étaient hébergées sur des noms de domaine compatibles HTTPS, dont certains avaient des noms usurpant l'identité des services de Microsoft, et depuis lesquelles une connexion TLS avec le véritable site de connexion était établie.

Pour en savoir plus, voir l'article de lemondeinformatique.fr.
16 juillet 2022
 La DNS a publié ses recommandations pour une éthique de l’IA « by design » pour la santé
La Délégation ministérielle au Numérique en Santé (DNS) a publié en avril dernier ses "Recommandations de bonnes pratiques pour intégrer l’éthique dès le développement des solutions d’intelligence artificielle en santé" : mise en œuvre de « l’éthique by design ». Ce rapport, aboutissement d’une concertation des différentes parties prenantes de l’écosystème de la santé numérique, concrétise une démarche de deux ans pendant lesquels les travaux de la cellule éthique ont associé des experts pluri-professionnels avec des chercheurs en IA, des représentants de patients, des professionnels de santé, des juristes, des sociologues, des éthiciens, etc...

Pour en savoir plus, voir l'article de actuia.com.
Pour télécharger le rapport, esante.gouv.fr.
15 juillet 2022
 Créé en août 2021, le Pôle d'expertise de la régulation numérique fait son premier bilan
Le Pôle d'expertise de la régulation numérique – chargé d'épauler les services de l'Etat dans la régulation des grandes plateformes – dresse son premier bilan, près d'un an après sa création. Il a mené 25 projets, notamment sur la Privacy Sandbox de Google ou les relations entre les communes et les intermédiaires de location des biens touristiques. Il a néanmoins rencontré des problèmes d'accès aux données et de coopération avec les plateformes dans 14 projets.

Pour en savoir plus, voir l'article de usine-digitale.fr.
15 juillet 2022
 Les USA démantèlent un trafic de faux équipements Cisco fabriqués en Chine
Un individu vient d’être arrêté en Floride pour avoir importé de Chine du matériel réseau Cisco contrefait et l’avoir revendu en ligne sous quarante-quatre marques de grossistes qu’il avait inventées de toutes pièces et dont vingt-cinq étaient relayées sur Amazon et eBay. Parmi les acheteurs qui se sont fait floués, les enquêteurs ont recensé des revendeurs informatiques, des hôpitaux, des écoles, des administrations et même l’armée américaine. L'individu utilisait des logiciels Cisco piratés pour contourner les contrôles automatisés de licence et d'authentification du matériel.

Pour en savoir plus, voir l'article de lemagit.fr.
15 juillet 2022
 Amazon Prime Day : pourquoi les experts prévoient un record d’arnaques
Si Amazon Prime Day reste l’occasion de faire de bonnes affaires pour les abonnés, l’événement constitue également un terrain de chasse privilégié pour les arnaqueurs. Les experts s’attendent d’ailleurs à une hausse substantielle des escroqueries durant cette édition. Pour étayer cette hypothèse, ils s’appuient sur une étude récente réalisée au mois de juin, un mois avant le coup d’envoi de l’Amazon Prime Day. Les conclusions de la recherche révèlent une forte augmentation des tentatives de phishing et de collecte d’informations.

Pour en savoir plus, voir l'article de lebigdata.fr.
14 juillet 2022
 Une petite énigme de décryptement? voici un chiffre de Bazeries...
Publiée cette semaine sur notre fil Twitter, une énigme fondée sur le chiffre de Bazeries. Si vous ne savez pas ce que c'est, rendez-vous dans un des dossiers accessibles en bas à droite de la page d'accueil de notre site web...

Le code à secret est : CO WOXAOJ OGW WJIIXOSOFJHXAR
Grille1: AFKPUBGLQVCHMRXDINSYEJOTZ - Grille2: MILEHUTCNQARSXBDFGJKOPVWY
La clef est l'année de naissance d'Étienne Bazeries.

Un indice : la réponse est l'une des suivantes : TNEMERFFIHCRUS - FOXTROTGOLFHOT - INDIAJULIETTKI

Pour consulter le fil Twitter de l'ARCSI, c'est ici.

Pour voir la solution (republiée le 20 juillet), c'est ici.

14 juillet 2022
 Un millier de chercheurs ont développé un modèle de langue multilingue en open source
Des chercheurs du monde entier ont travaillé à développer "Bloom", un modèle de langage entraîné sur le supercalculateur Jean Zay. Il est capable de prédire le prochain mot d'un texte dont il connaît le début. Ce modèle se distingue des autres modèles de traitement automatique par le fait qu'il a été entraîné simultanément en 46 langues, réparties sur des sources très variées (littérature, articles scientifiques, dépêches sportives...). Les travaux seront disponibles en open source, permettant à Bloom d'être sans cesse amélioré.

Pour en savoir plus, voir l'article de usine-digitale.fr.
14 juillet 2022
 Hausse des logiciels malveillants sur téléphone mobile : où en est-on ?
Une nouvelle étude de Proofpoint montre que les incidents de logiciels malveillants sur téléphone mobile sont en hausse en Europe cette année. Début février, Proofpoint a enregistré une hausse de 500% des tentatives d’attaques de malwares mobiles. L’objectif principal d’une attaque de logiciel malveillant sur mobile est de voler les identifiants de connexion de comptes aux banques en ligne, les renseignements bancaires et autres données sensibles.

Pour en savoir plus, voir l'article de incyber.org.
14 juillet 2022
 TikTok reporte la mise à jour de sa politique de confidentialité en Europe suite à une plainte pour violation du RGPD
L’application chinoise a toujours demandé le consentement de ses utilisateurs pour faire usage de leur activité sur et en dehors de TikTok dans le cadre de la publicité ciblée. Elle voudrait désormais le faire sans obtenir explicitement leur permission au nom d’un « intérêt légitime » pour l’entreprise. L’agence de protection des données italienne a été la première à donner l’alerte, considérant qu'il s'agit d'une violation de la directive ePrivacy et du RGPD.

Pour en savoir plus, voir l'article de clubic.com.
13 juillet 2022
 Une trentaine de responsables cyber publie une lettre ouverte sur le système de certification européen des services cloud
L’ENISA (Agence de l’Union européenne pour la cybersécurité) va bientôt présenter sa recommandation finale pour le système européen de certification de la cybersécurité pour les services en nuage (EUCS). Le projet actuel prévoit trois niveaux d’assurance, le plus élevé comprenant des critères garantissant l’immunité contre les lois extraterritoriales. Nous, utilisateurs et fournisseurs européens de services cloud, sommes convaincus qu’un tel niveau d’assurance est le seul moyen d’atteindre un niveau élevé de cybersécurité et de protection des données, tout en créant la confiance dans les services cloud en Europe. Nous appelons les États membres, la Commission européenne et l’ENISA à soutenir ces critères.

Pour en savoir plus, voir l'article de globalsecuritymag.fr.
13 juillet 2022
 Des chercheurs allemands ont maintenu une intrication quantique à 33 km de distance
Des scientifiques des universités de Ludwig-Maximilians (Münich) et de la Sarre ont lié l’état de deux atomes de rubidium en utilisant le principe de l’intrication quantique, un état dans lequel deux particules voient leur nature être calquée l’une sur l’autre. Ces deux atomes étaient initialement reliés par une fibre optique et physiquement placés à 700 m de distance l’un de l’autre dans deux bâtiments de l’université munichoise. Une fois cet état obtenu, la longueur de la fibre a été portée à 33 km et l’intrication maintenue.

Pour en savoir plus, voir l'article de 01net.com.
Article original en anglais à lire dans nature.com.
13 juillet 2022
 Thalès poursuit ses acquisitions dans le domaine cyber avec celle de OneWelcome
Poursuivant sa stratégie d’expansion en matière de cybersécurité, Thales annonce la signature d’un accord pour acquérir OneWelcome, un spécialiste européen sur un marché en forte croissance, celui de la gestion des identités et des accès clientss. Les capacités de gestion du cycle de vie de l’identité numérique de OneWelcome viendront compléter les services d’identité et d’accès existants de Thales.

Pour en savoir plus, voir l'article de globalsecuritymag.fr.
12 juillet 2022
 Solange Ghernaouti propose "une obligation d’annoncer dans quel cloud se trouvent nos données"
Docteur en informatique, la professeure Solange Ghernaouti est experte internationale en cybersécurité et cyberdéfense, et membre de l'ARCSI. Auteure de nombreux livres et publications, elle publie régulièrement des billets sur son blog (voir notre page "publications"). Le dernier en date commence ainsi : "Bien des entreprises comme des administrations publiques (hôpitaux, universités, etc.), qui jusque dans un passé récent, stockaient les données de leurs clients et usagers (c’est-à-dire, les nôtres) dans leurs propres infrastructures (on premise), les ont transférées, dans des infrastructures de cloud étrangères. Sommes-nous informés que nos données sont passées dans un cloud étranger ? Généralement pas.

Pour voir le billet de Solange, c'est ici.
12 juillet 2022
 STMicroelectronics et GlobalFoundries vont ouvrir une nouvelle fonderie de semiconducteurs en France
Annoncée ici le 14 juin dernier, la décision de l'américain GlobalFoundries et du franco-italien STMicroelectronics de construire ensemble une nouvelle fonderie à Crolles, à côté de Grenoble, est confirmée. Les deux partenaires évoquent un investissement de 5,7 milliards d'euros pour un projet qui sera soutenu financièrement par l'Etat dans le cadre du "Chips Act" européen. L’usine doit atteindre sa pleine capacité de production d’ici 2026 et produira des puces destinées aux secteurs de l’automobile, l’industrie, l’IoT et les infrastructures de communication.

Pour en savoir plus, voir l'article de usine-digitale.fr.
12 juillet 2022
 D'après le dernier rapport d'EfficientIP, 87 % des entreprises françaises ont subi des attaques DNS en 2021
EfficientIP a publié son dernier rapport sur les menaces DNS, et particulièrement sur la façon dont les entreprises françaises font face aux attaques informatiques visant leurs serveurs DNS et comment le DNS s’intègre dans leur politique de sécurité. Ce rapport réalisé par le cabinet d’études IDC montre que le DNS reste une cible de choix pour les hackers avec 87 % des entreprises françaises ayant subi une attaque DNS en 2021.

Pour en savoir plus, voir l'article de globalsecuritymag.fr.
11 juillet 2022
 L'entreprise d'internet par satellite Starlink propose un forfait pour fournir Internet aux navires
Elon Musk veut démontrer l'intérêt de l'Internet spatial dans le secteur maritime. Avec son entreprise Starlink, il présente une nouvelle offre baptisée Starlink Maritime, donnant accès pour 5.000 dollars par mois à Internet depuis la mer avec des débits allant jusqu'à 350 Mbit/s. Starlink vise à fournir une connexion Internet haut débit à travers le monde grâce à une constellation cible de 42.000 satellites placés en orbite basse d'ici 2027, et dont les lancements s'effectuent graduellement.

Pour en savoir plus, voir l'article de journaldunet.com.
11 juillet 2022
 D. Luzeaux, Directeur de l'Agence du Numérique de Défense, publie une tribune sur la souvenaineté numérique
Dans un contexte où le système d’information est vital et sensible au même titre que l’énergie et la santé, cette tribune publiée sur LinkedIn présente quelques propositions et préconisations permettant de replacer la souveraineté sur l’aspect numérique, ses infrastructures et ses spécificités. Avec l’annonce de plusieurs axes à travers le Conseil National de la Refondation, ces préconisations permettront d’aiguiller une politique volontariste pour aboutir à la souveraineté numérique, et une mise en œuvre au service du développement économique.

Pour télécharger la tribune de Dominique Luzeaux, c'est ici.
11 juillet 2022
 Le top 10 des Entreprises de Services Numériques bénéficie pleinement de l’accélération du numérique
Selon le classement réalisé par PAC, Orange est entré dans le top 3 des ESN sur le marché français, en partie grâce à son activité d'Orange Cyberdefense. L'américain DXC est la lanterne rouge avec une baisse de revenus de 11%. Capgemini reste le leader incontesté du marché français, très loin devant son premier confrère Sopra Steria. Il faut noter qu’une part de sa croissance vient de l’acquisition d’Altran. Les ESN de toutes tailles sont dans une très bonne dynamique, meilleure qu'en 2021. Aujourd’hui, c’est la pénurie de ressources qui empêchent les ESN de réaliser encore plus de croissance.

Pour en savoir plus, voir les articles de sitsi.com et de distributique.com.
10 juillet 2022
 La Cnil entame un contrôle sur le niveau de cybersécurité des sites web français
La Commission nationale de l'informatique et des libertés (Cnil) souhaite vérifier le respect du b.a.-ba de la sécurité informatique par les sites web. 15 sites internet français ont ainsi été mis en demeure à la suite de contrôles sur leur niveau de sécurité. Des manquements ont été constatés sur le chiffrement des données et la traçabilité des connexions anormales aux serveurs. Ils ont trois mois pour se mettre en conformité.

Pour en savoir plus, voir l'article de usine-digitale.fr.
10 juillet 2022
 Un député s'attaque aux promesses du cloud de confiance, en particulier l'offre S3NS de Thales et Google
Philippe Latombe affiche son scepticisme sur la capacité des offres de cloud hybride à embrasser le « meilleur des deux mondes » en matière de cloud. Le député MoDem, et membre de la Commission des lois, attaque en particulier le projet de cloud de confiance S3NS, porté par Thales et Google auprès de la CNIL et l'ANSSI, mais aussi celui d'Orange-Capgemini-Microsoft.

Pour en savoir plus, voir l'article de zdnet.fr.
10 juillet 2022
 IBM Cloud pourrait être le premier à se décliner en cloud de confiance
Alors qu’Orange et Thalès annoncent décliner les clouds américains Azure et GCP en version souveraine d’ici à 2024, la direction d’IBM France laisse entendre qu’elle proposerait une alternative dès 2023, grâce à une "alliance avec un acteur local".

Pour en savoir plus, voir l'article de lemagit.fr.
10 juillet 2022
 Les projets Web3 ont perdu cette année plus de 2 milliards de dollars en raison de piratages
La société CertiK, spécialisée dans l'audit et la sécurité des blockchains, vient de publier son rapport trimestriel sur la sécurité des projets Web3 couvrant le deuxième trimestre de cette année. Il dresse un tableau sobre de l’écosystème des cryptomonnaies toujours en proie à des piratages, des escroqueries et des schémas d'hameçonnage: au cours des six premiers mois de 2022, plus de 2 milliards de dollars de pertes, plus que toute l'année 2021 combinée.

Pour en savoir plus, voir l'article de developpez.com.
9 juillet 2022
 Apple répond à l’épisode Pegasus avec un "mode isolement (lockdown mode)"
Apple va intégrer à sa nouvelle version d’iOS (iOS 16) un « mode isolement » optionnel qui restreint les fonctionnalités de l’iPhone. En ligne de mire, les logiciels espions « à la Pegasus ». Disponible à l’automne sur iPhone, ainsi que sur iPad et Mac, ce mode possèdera des fonctionnalités comme le blocage des pièces jointes dans l’app Messages, la désactivation de certaines technologies dans le navigateur, ou le blocage des connexions filaires aux ordinateurs et aux accessoires lorsque l’iPhone est verrouillé.

Pour en savoir plus, voir l'article de silicon.fr ou celui de usine-digitale.fr.
9 juillet 2022
 Le Pentagone lance un programme temporaire de "chasse aux vulnérabilités (Bug Bounty)"
Le programme "Hack US" a été lancé par le Ministère de la Défense américain (DoD) le jour de la fête de l'Indépendance et devrait se poursuivre jusqu'au 11 juillet. Il est destiné à découvrir des failles des systèmes et applications destinés au public. L'initiative est gérée par le fabricant de plateformes de primes aux bugs HackerOne, qui s'est associé au ministère de la Défense.

Pour en savoir plus, voir l'article (en anglais) de hackerone.co.
9 juillet 2022
 Le rançongiciel AstraLocker arrête ses opérations et publie un outil de déchiffrement
Les opérateurs du rançongiciel AstraLocker viennent d'annoncer mettre fin à leurs opérations et recentrer leur activité sur le détournement de cryptomonnaies (« cryptojacking »). Ils ont téléversé un outil de déchiffrement sur le site Internet Virus Total, outil légitime et fonctionnel.

Pour en savoir plus, voir l'article (en anglais) de bleepingcomputer.com.
8 juillet 2022
 Le NIST annonce avoir choisi quatre premiers algorithmes de chiffrement pour lutter contre de futures attaques quantiques
A l’issue de 6 années de compétition internationale, le National Institute of Standards and Technology (NIST) du ministère américain du commerce a annoncé avoir choisi les quatre premiers algorithmes de chiffrement conçus pour résister à l'assaut d'un futur ordinateur quantique, qui pourrait potentiellement casser les clés de chiffrements utilisées quotidiennement dans les systèmes numériques. Parmi les concepteurs, on trouve de nombreux chercheurs de la communauté cryptographique française. Ces nouveaux algorithmes feront partie de la norme cryptographique post-quantique du NIST, qui devrait être finalisée dans environ deux ans.

Pour en savoir plus, voir l'article de siecledigital.fr, ou en anglais celui du NIST.
8 juillet 2022
 Le W3C dit non à Google et Mozilla sur l’identité décentralisée
La spécification DID (Decentralized Identifiers) passera au stade de recommandation W3C début août, en dépit de l’opposition de Google et de Mozilla. Cela marquera ainsi l’étape finale de son processus de ratification. Pour mémoire, la "World Wide Web Consortium", abrégé par le sigle W3C, est un organisme de standardisation à but non lucratif chargé de promouvoir la compatibilité des technologies du web.

Pour en savoir plus, voir l'article de silicon.fr.
8 juillet 2022
 Publication d'un Guide de la Cnil pour aider les collectivités territoriales sur leur posture de cybersécurité
Face à une augmentation des actes de cybermalveillance et dans un contexte de profonde transformation numérique des collectivités, la CNIL en collaboration avec Cybermalveillance.gouv.fr propose un nouveau guide pour informer les élus locaux et agents territoriaux. La cybersécurité constitue en effet un enjeu majeur pour les collectivités.

Pour en savoir plus, voir l'article de undernews.fr.
Pour voir le guide, voir le site de la CNIL.
8 juillet 2022
 L'autorité britannique de la concurrence enquête sur le rachat d'Activision Blizzard par Microsoft
L'autorité britannique en charge de la concurrence ouvre une enquête sur l'acquisition d'Activision Blizzard par Microsoft. Elle va chercher à évaluer si ce rachat va perturber la concurrence dans ce domaine au Royaume-Uni. Cette acquisition permettrait en effet à Microsoft de devenir le troisième éditeur mondial dans le secteur des jeux vidéo et de détenir des licences phares comme celles de Warcraft, Diablo, Overwatch, Call of Duty ou Candy Crush.

Pour en savoir plus, voir l'article de usine-digitale.fr.
7 juillet 2022
 D'après Google, la moitié des failles de type zero day sont liées à de mauvais correctifs
D'après les chercheurs de l'équipe Google Project Zero, la moitié des 18 failles de type "zero day" qui ont été exploitées cette année auraient pu être évitées, si les principaux fournisseurs de logiciels avaient créé des correctifs plus complets et effectué davantage de tests.

Pour en savoir plus, voir l'article de zdnet.fr.
7 juillet 2022
 Les DSI souhaitent une clause d’immunité pour leurs données sensibles contre les lois extraterritoriales US
En association avec Voice, son homologue allemand, le Cigref demande une certification européenne qui protège les données sensibles des organisations européennes dans le Cloud, vis-à-vis des législations non européennes à portée extraterritoriale. Le Cigref est l’association des grandes organisations utilisatrices de l’informatique.

Pour en savoir plus, voir l'article de larevuedudigital.com.
7 juillet 2022
 Le Parlement européen vote le Digital Services Act et le Digital Markets Act
Avec ces nouveaux textes, les entreprises sont passibles d'amendes pouvant atteindre 10% de leur chiffre d'affaires annuel en cas de violation de la Digital Markets Act (DMA, loi sur les marchés numériques) et jusqu'à 6% en cas de violation de la Digital Services Act (DSA, relatif à la loi sur les services numériques).

Pour en savoir plus, voir l'article de zdnet.fr.
7 juillet 2022
 Bruxelles veut mobiliser 45 Milliards d'Euros pour les start-ups deeptech
L’Union européenne se rêve en acteur majoritaire de la croissance des start-ups technologiques en son sein. Elle lance aujourd’hui un programme qui vise, d'ici 2025, à mobiliser environ 45 milliards d'euros de financement pour les entreprises en expansion à partir de sources inexploitées de capitaux privés.

Pour en savoir plus, voir l'article de lemondeinformatique.fr.
6 juillet 2022
 Cybersécurité en France : la région Hauts-de-France se positionne en leader
La région Hauts-de-France se positionne comme la pionnière en matière de sécurité posée par le développement de l’économie numérique. À l’heure actuelle, elle continue d’avoir une longueur d’avance en restant le leader français de la cybersécurité. Les Hauts-de-France font même figure d’exemple sur tout le continent européen. La région développe tout un écosystème pour renforcer la cybersécurité de ses différents établissements, publics et privés.

Pour en savoir plus, voir l'article de latribune.fr.
6 juillet 2022
 Qui est Jean-Noël Barrot, nouveau ministre délégué au Numérique ?
Si le premier gouvernement Borne faisait l’impasse sur le poste de secrétaire d’Etat au numérique, la trajectoire est corrigée avec la composition du gouvernement nouvellement annoncée. Le député Modem Jean-Noël Barrot, économiste, est nommé ministre délégué chargé de la Transition numérique et des Télécommunications, dépendant de Bercy.

Pour en savoir plus, voir l'article de linformaticien.com.
6 juillet 2022
 Exascale Computing : des supercalculateurs 10 fois plus performants que le Frontier américain
Les nouvelles créations en Exascale Computing se développent rapidement. Deux supercalculateurs sont attendus aux Etats-Unis : Aurora et El Capitan. Leurs capacités égalent à 2 exaflops pour le moment. Les prévisions d’évolution des ordinateurs de haute performance touchent également les ordinateurs classiques. Les chiffres prévoient des améliorations de 20 exaflops à 100 exaflops dans la période avoisinant 2030.

Pour en savoir plus, voir l'article de lebigdata.fr.
5 juillet 2022
 Enigmes de l'ARCSI publiées à l'occasion de l'évènement "LeHack"
Une énigme publiée la semaine dernière sur le fil Twitter de l'ARCSI a permis à l'heureux gagnant d'obtenir une place gratuite pour l'évènement "LeHack" dans lequel l'ARCSI avait un stand. L'Association a également participé au challenge CTF, et en voici le problème posé...

Essayez de résoudre le CTF de l'ARCSI ici.
Vous avez trouvé ? voici la solution pour vérifier ici.
5 juillet 2022
 Cryptomonnaie, porte-monnaie virtuel : la faillite du projet de paiement de Meta est totale
En 2019, Facebook avait annoncé Libra, la « monnaie du futur », en rêvant de créer une devise internationalement reconnue, qui mettrait fin aux dollars ou aux euros. Basée sur la blockchain, la Libra devait être stockée dans l’application Calibra, une sorte de portefeuille numérique dédiée aux cryptomonnaies. Malheureusement, tout ne s’est pas passé comme prévu pour Facebook, qui est devenue Meta entre-temps.

Pour en savoir plus, voir l'article de numerama.com.
5 juillet 2022
 La DGSE imagine les cyberguerres du futur, de 2030 à 2060
À quoi pourrait bien ressembler le monde numérique dans 10, 20 ou 40 ans ? Difficile à dire tant les évolutions et découvertes sont rapides. La DGSE se lance néanmoins dans un exercice d’anticipation. Sans attendre les prochaines décennies, la « guerre » se prépare aussi dans l’espace et au fond des océans.

Pour en savoir plus, voir l'article de nextinpact.com.
4 juillet 2022
 Après Apple avec son magasin d'applications, Google déverrouille un peu son Play Store
Après Apple, c’est au tour de Google d’être obligé de lâcher du lest au niveau des contraintes de son magasin d’applications. L’éditeur a trouvé un accord avec les représentants de 48.000 petits développeurs qui avaient déposé un recours collectif pour dénoncer les pratiques commerciales de Google concernant son Play Store.

Pour en savoir plus, voir l'article de 01net.com.
4 juillet 2022
 Les bugs logiciels les plus dangereux demeurent le défaut d'écriture en mémoire hors limite et le scripting intersites
Une liste détaillant les 25 failles logicielles "les plus dangereuses", dont certaines pourraient permettre à des attaquants de prendre le contrôle d'un système, vient d'être publiée. Elle a été élaborée aux Etats-Unis par le Homeland Security Systems Engineering and Development Institute, parrainé par la Cybersecurity and Infrastructure Security Agency (CISA) et gérée par MITRE. Les plus dangereuses restent les mêmes que l'année dernière : CWE-787 ou défaut d'écriture en mémoire hors limites, et CWE-79 pour les failles de scripting intersites.

Pour en savoir plus, voir l'article de zdnet.fr.
3 juillet 2022
 L'Europe s'accorde sur deux règlements encadrant les crypto-actifs
La présidence du Conseil de l'UE et le Parlement européen sont parvenus à un accord provisoire concernant le règlement relatif aux crypto-actifs MiCA, et le règlement sur les transferts de fonds TFR, relatif au blanchiment d'argent et au financement du terrorisme, après plusieurs mois de négociation.

Pour en savoir plus, voir l'article de usine-digitale.fr.
3 juillet 2022
 TikTok confirme que les employés situés en Chine ont accès aux données des utilisateurs américains
Cette déclaration de TikTok apparaît dans une réponse à un questionnaire de sénateurs américains. L’entreprise basée en Chine précise néanmoins que la manœuvre est possible via un processus d’approbation. Elle réitère qu’elle stocke désormais les données des utilisateurs US dans des serveurs Oracle.

Pour en savoir plus, voir l'article de developpez.com.
2 juillet 2022
 Assurance cyber : zoom sur les 9 chiffres clé du marché français
Comment va le marché français de l’assurance cyber ? Primes, capacités, franchises, indemnisations… Voici les 9 chiffres issues de la deuxième édition de l'étude de l’AMRAE. En particulier, elle emploie l’expression "montagnes russes" à plusieurs reprises, autant à propos de la fréquence et de l’intensité des sinistres que des résultats techniques des assureurs sur le segment des grandes entreprises.

Pour en savoir plus, voir l'article de itespresso.fr.
2 juillet 2022
 La Commission européenne étudie le rachat de VMWare par Broadcom
Annoncé fin mai 2022, le rachat de Vmware par Broadcom est l’une des plus grosses transactions jamais effectuées dans le milieu de l’industrie des technologies. Et logiquement, les autorités antitrusts d’Europe et outre-atlantique scrutent le dossier avec intérêt en voulant s’assurer que l’opération n’entraînera aucun comportement abusif comme des hausses des prix ou des pratiques anticoncurrentielles (voir l'actu du 28 juin 2022).

Pour en savoir plus, voir l'article de linformaticien.com.
2 juillet 2022
 L’Ukraine a subi près de 800 cyberattaques depuis le début de l’invasion russe
La Russie n’a jamais baissé l’intensité de ses opérations dans le cyberespace et continue à perturber le réseau ukrainien. Les experts remarquent que de nombreuses cyberattaques sont corrélées à des frappes dans le monde réel. Les russes cherchent régulièrement à créer le désordre au même moment où ils tirent leurs missiles. Le département de recherche des menaces de Microsoft fait le même constat en analysant le calendrier des tentatives de piratage avec celui des frappes de roquettes.

Pour en savoir plus, voir l'article de numerama.co.
1er juillet 2022
 Police et Gendarmerie vont utiliser un accès prioritaire au réseau 4G d'Orange
Avec des smartphones robustes de Crosscall, la police et la gendarmerie se connecteront dorénavant aux réseaux mobiles 3G et 4G des opérateurs en utilisant en plus la préemption sur le réseau d’Orange en cas de saturation lors d’un événement sportif par exemple. Ce bond technologique était nécessaire puisque le réseau radio numérique chiffré utilisé jusqu'à présent par les forces de l'ordre (l'INPT) ne permettait que du bas débit.

Pour en savoir plus, voir l'article de universfreebox.com.
1er juillet 2022
 Thales et Google créent "S3NS" pour fournir des services cloud de confiance SecNumCloud
A la suite d’un partenariat signé en 2021 et l’ouverture d’une région France sur Google Cloud, les deux entreprises créent une coentreprise, S3NS, pour proposer à toutes les institutions publiques françaises et entreprises privées soucieuses de protéger leurs données sensibles l'équivalent de Google Cloud Platform (GCP) en conformité avec le label SecNumCloud de l'ANSSI.

Pour en savoir plus, voir l'article de linformaticien.com.
1er juillet 2022
 Plus de 900.000 clusters Kubernetes mal configurés ont été découverts exposés sur Internet
Kubernetes est un système d'orchestration de conteneurs open-source très polyvalent permettant d'héberger des services en ligne et de gérer des charges de travail conteneurisées via une interface API uniforme. Il bénéficie d'une adoption et d'une croissance massives grâce à son évolutivité et sa flexibilité dans les environnements multi-clouds. Toutefois, s'il n'est pas configuré correctement, des acteurs distants peuvent avoir accès à des ressources internes et à des actifs privés qui ne sont pas censés être rendus publics.

Pour en savoir plus, voir l'article de developpez.com.

Historique des Actualités

Vous trouverez ci-dessous les actualités précédentes, accessibles trimestre par trimestre :


Actualités du 2e Trimestre 2022
Actualités du 1er Trimestre 2022

Actualités du 4e Trimestre 2021
Actualités du 3e Trimestre 2021
Actualités du 2e Trimestre 2021
Actualités du 1er Trimestre 2021

Actualités du 4e Trimestre 2020
Actualités du 3e Trimestre 2020
Actualités du 2e Trimestre 2020
Actualités du 1er Trimestre 2020

Actualités du 4e Trimestre 2019
Actualités du 3e Trimestre 2019
Actualités du 2e Trimestre 2019
Actualités du 1er Trimestre 2019




 
Partie réservée
aux membres
Bulletins, albums photos,
AG, dîners annuels, etc.
+
version numérique des
magazines MISC,
GSMag et L'1FO-CR

Histoire de la Cryptologie
Le VOCABULAIRE
de la CRYPTOLOGIE
par les experts de l'ARCSI 
Quels ouvrages de
CRYPTOLOGIE choisir ?
Les conseils de l'ARCSI



nuage de tags ARCSI

  L'ARCSI est aussi sur

LinkedIn    Twitter
LinkedIn   Twitter

Les mots du Président
spacer
Les mots du Président

Les rapports moraux des A.G.
spacer
Les rapports moraux des
Assemblées Générales


Les contributions de l'ARCSI
spacer
Les contributions
de l'ARCSI


L'Écosystème de la Cyber

DERNIÈRES PUBLICATIONS
DES MEMBRES
La Cybersécurité pour tous
Solange GHERNAOUTI
(ARCSI)
Le Code du Numérique 2022
sous la direction de
Fabrice MATTATIA (ARCSI),
Denis Berthault et Louis Degos
Le livre des nombres
Hervé LEHNING (ARCSI)
À LIRE
Exposition "Top Secret"
Science Museum, London
Florian BRUNET (ARCSI)
Le monde captivant
de la cryptographie
Tout un ensemble de
documentations, articles
et informations à télé-
charger ou à consulter
en ligne.
Daniel Tant

Cryptologie, l'art
des codes secrets
Un dossier de synthèse
rédigé par :
Philippe Guillot




AUTRES PUBLICATIONS
INTERESSANTES

À LIRE
Magazine "cyberun" N°13
consacré à la cryptographie
CLIQUEZ ICI POUR
CONSULTER TOUS LES
NUMÉROS DE CYBERUN
À LIRE
Management de la sécurité
de l'information

par Alexandre Fernandez-Toro
préface de Hervé Schauer,
membre de l'ARCSI
À LIRE
Guide de sélection
d'algorithmes
cryptographiques

par l'ANSSI
CLIQUEZ ICI POUR
CONSULTER TOUS LES
GUIDES DE BONNES
PRATIQUES DE L'ANSSI





sur CryptoMuseum.com
spacer



spacer
Crypto : Le Webdoc'
de l'ANSSI


Voir le Socle
Interministériel des
Logiciels Libres
(édition 2021)