ARCSI
Association des Réservistes du Chiffre et de la Sécurité de l'Information

Actualités du domaine


10 juillet2019
 Vous cherchez un bon livre de cryptologie? Les membres de l'ARCSI vous conseillent !
Si vous cherchez l'un des meilleurs livres de cryptologie qui ait été publié, alors consultez la page "conseils de l'ARCSI" accessible dans le bandeau en haut et à droite des pages de notre site www.arcsi.fr. Nos éminents spécialistes du domaine ont sélectionné pour vous les ouvrages les plus pertinents...

Pour en savoir plus, voir la page conseils de l'ARCSI.
9 juillet2019
 Les protections numériques ("digital rights management" ou DRM) de Netflix ont-elles été cassées ?
Toute la saison 3 de la série "Stranger Things" était déjà en accès libre sur internet juste quelques heures après sa disponibilité sur Netflix en version 4K. Or, Netflix utilise une technologie développée par Google, appelée Widevine, pour chiffrer ses films et ses séries. "The Scene", une organisation complexe impliquée dans l’obtention de contenu piraté à partir de plateformes numériques telles que Netflix, Amazon ou iTunes, pourrait en être responsable.

Pour en savoir plus, voir l'article de www.frandroid.com.
8 juillet2019
 Un réseau mondial de serveurs de clés PGP victime d’un sabotage irrémédiable, condamnant de fait la technologie "Synchronizing Key Server" (SKS)
Des serveurs de clés de chiffrement OpenPGP ont été la cible d’un "spam" qui rend les clés publiques touchées inutilisables. Cette vulnérabilité, impossible à patcher, condamne de fait la technologie "Synchronizing Key Server" (SKS), la plus déployée et utilisée dans le monde. Cette attaque est intrinsèquement liée au design des serveurs SKS et son code est trop vieux pour être modifiable.
Cela devrait permettre le déploiement d'une nouvelle génération de serveurs de clés moins vulnérables et plus respectueux vis-à-vis de la protection des données personnelles.

Pour en savoir plus, lire l'article de 01net.com.
3 juillet2019
 Le dernier numéro de "Global Security Mag" désormais téléchargeable en pdf par les adhérents de l'ARCSI à partir du site privé
Le numéro 47 de "Global Security Mag" vient de paraître. Sa version pdf est désormais téléchargeable par les adhérents depuis la partie privée du site. On y trouvera des contributions de plusieurs membres de l'ARCSI, Marc Brami, Emmanuelle Lamandé et Renaud Lifchitz.

Pour en savoir plus, voici le lien d'accès au site privé.
3 juillet2019
 Une application pour iOS permet d'acheter des cryptomonnaies et d'effectuer les mêmes opérations qu'avec de la monnaie fiduciaire
Son nom? "Bartwallet". Cette application, pour l'instant uniquement disponible sur iOS, permet d'acheter et vendre de nombreuses cryptomonnaies (Bitcoin, Ethereum, Bartcoin,...), le tout de manière sécurisée en A2F à partir d’une simple carte de crédit ou d’un virement SEPA, en créditant son porte-monnaie électronique (wallet) en euros ou en dollars. Il permet également d'effectuer des virements ou des remboursements via n'importe quel compte bancaire, qu’il s’agisse de cryptomonnaies ou de devises.

Pour en savoir plus, lire l'article de igen.fr.
2 juillet2019
 Entrée en vigueur de l'acte législatif de l'Union Européenne sur la cybersécurité
Ce 27 juin est entré en vigueur l'acte législatif européen sur la cybersécurité. Il permet de doter l'Agence Européenne chargée de la sécurité des réseaux et de l'information (ENISA) d'un nouveau mandat permanent et de renforcer son budget et son effectif. L'ENISA sera par ailleurs rebaptisée "Agence de l'Union européenne pour la cybersécurité" Parmi ses prérogatives figure en particulier l'uniformisation des standards de cybersécurité des produits et services vendus sur le marché communautaire.

Pour en savoir plus, consulter le communiqué de l'ENISA (en anglais).
1er juillet2019
 "Eurocrypt 2019" s'est tenue du 19 au 23 juin à Darmstadt, en Allemagne
"Eurocrypt 2019" était la 38e édition annuelle de cette conférence internationale sur la théorie et les applications des techniques cryptographiques. Les actes et les enregistrements vidéo sont disponibles en accès libre sur internet.

Pour accéder aux actes en pdf, voir le programme détaillé d'Eurocrypt 2019.
Pour regarder les vidéos des conférences, il suffit de se rendre sur la page youtube dédiée.
28 juin2019
 Tchap, l'application de messagerie conçue par la DINSIC, fait l'objet d'un "bug bounty" sur le site YesWeHack
La Dinsic (Direction Interministérielle du Numérique et du Système d'Information et de Communication de l'État) a lancé un "bug bounty" sur son application de messagerie souveraine et chiffrée pensée pour l’Administration centrale et les membres du Gouvernement, Tchap, à la recherche de failles potentielles. Elle pointe elle-même les points à observer avec attention, notamment les clés publiques et privées et les métadonnées.

Pour en savoir plus, lire l'article du mondeinformatique.fr.
26 juin2019
 La Banque de France crée un groupe de travail constitué des représentants des différentes banques centrales, et dédié aux projets de cryptomonnaies
François Villeroy de Galhau, gouverneur de la Banque de France, a annoncé la création d'un groupe de travail dédié aux projets de cryptomonnaies, dont celui initié par Facebook sous le nom de Libra. La France préside le G7 en 2019 et souhaite que la communauté internationale fixe un cadre pour que les futures cryptomonnaies ne restent qu'un instrument de transaction et non une monnaie souveraine. La Banque de France promeut en effet activement une stratégie européenne en la matière.

Pour en savoir plus, lire l'article de challenges.fr.
25 juin2019
 Comment penser la cybersécurité à l’heure de l’esclavage numérique, une analyse de Solange GHERNAOUTI, membre de l'ARCSI
Dans ce billet de blog, Solange GHERNAOUTI cherche à analyser l’écosystème numérique actuel pour identifier les différentes manières dont les technologies de l’information contribuent à l’esclavage moderne. Elle se fonde pour celà sur les définitions communément acceptées liées à l’esclavage traditionnel.

Pour accéder au blog de Solange : Cybersécurité, le blog de Solange Ghernaouti.
21 juin2019
 une nouvelle version du kit de sensibilisation à la cybersécurité de "cybermalveillance.gouv.fr" plus complet et plus ludique
Fruit d’une collaboration menée depuis plusieurs mois entre institutions publiques, organismes privés, associations membres du GIP et avec la contribution d’utilisateurs, ce nouveau kit de sensibilisation aborde neuf thèmes, déclinés en différents supports : fiches pratiques, vidéos, mémos et, nouveautés, des formats interactifs et ludiques : une bande dessinée, un poster, un quiz et, pour la version papier, des autocollants.

Pour voir le kit : site cybermalveillance.gouv.fr.
19 juin2019
 Edgar Poe et la sécurité informatique, par Cédric CARTAU, membre de l'ARCSI
On reconnaît les génies au fait que leurs œuvres peuvent être lues et relues, interprétées et réinterprétées au fil des modes et du temps, tout en restant les mêmes. Edgar Poe est de ceux-là. Et Cédric nous rappelle l'usage qu'a fait Edgar Poe de la technique de l'obfuscation.

Pour lire l'article de Cédric Cartau : Edgar Poe et la sécurité informatique.
17 juin2019
 Le site Upsigma publie un complément à son histoire de la cybersécurité française du XVe siècle, époque de l'invention de l'imprimerie, à nos jours. Voir notre actualité du 6 juin dernier.

13 juin2019
 Les services techniques du Ministère de l'Intérieur réussissent à développer un outil de décryptement du rançongiciel PyLocky et le mettent à disposition du public
PyLocky est un rançongiciel (ou ransomware), qui crypte les fichiers de la victime et réclame une rançon en échange de la clef permettant d’en recouvrer l’accès. L'utilitaire développé par le Ministère de l'Intérieur agit sur les fichiers cryptés avec les versions 1 et 2 de PyLocky. Il est le fruit de la collaboration des services d'enquêtes, qui ont pu récolter dans le cadre de leurs investigations des éléments techniques, en association avec des chercheurs en sécurité bénévoles. L'outil nécessite Microsoft Windows 7 ou supérieur, mais il ne décontamine pas pour autant la machine infectée par le rançongiciel.

Pour en savoir plus, consulter le site cybermalveillance.gouv.fr.
Pour télécharger l'outil, c'est ici (fichier zip).
11 juin2019
 A écouter ou réécouter sur le site de l'ARCSI, une série de 4 émissions de France Culture consacrées en août 2018 à Alan Turing, dans le cadre d'un cycle "Grande traversée"
Du 13 au 17 août 2018, France Culture a consacré sa série d'émissions intitulées "la grande traversée", animées par Amaury Chardeau, à Alan Turing. Quatre émissions pour mieux comprendre qui était Turing, quelles ont été ses contributions au décryptement de l'Enigma ou au concept de l'ordinateur. Quatre émissions que l'ARCSI vous propose de réécouter directement sur son site :
Vous pouvez également écouter directement ces podcasts sur le site de France Culture : le cycle "Grande traversée, l'énigmatique Alan Turing".
9 juin2019
 Le nombre de malwares se cachant dans le trafic chiffré par "SSL/TLS" est en hausse notable
D'après Stan Lowe, de la société Zscaler, les certificats SSL sont de plus en plus utilisés car considérés comme une valeur sûre. Mais ce temps est révolu avec l’avènement de fournisseurs de certificats gratuits. L’augmentation spectaculaire du trafic chiffré au cours des dernières années a en effet offert aux pirates informatiques davantage d’opportunités, en dissimulant dans ce canal chiffré la diffusion de logiciels malveillants vers les utilisateurs, l’exfiltration de données et les communications "commande et contrôle" vers des botnets.

Pour en savoir plus, lire l'article de globbsecurity.fr.
7 juin2019
 Deux chercheurs expliquent comment casser un chiffrement RSA de 2048 bits avec un ordinateur quantique en seulement 8 heures en optimisant l’algorithme de Shor
Craig Gidney, chez Google, et Martin EkerÅ au KTH Royal Institute of Technology à Stockholm viennent de montrer comment casser le chiffrement RSA à 2018 bits avec un ordinateur quantique de "seulement" 20 millions de qubits. Jusqu’à présent, les experts en sécurité estimaient plusieurs dizaines d’années nécessaires pour réaliser l'opération. Pour y parvenir, ils ont optimisé la phase la plus exigeante, l’algorithme de Shor.

Pour en savoir plus, lire cet article.
Pour en savoir plus sur l'algorithme de Shor, voir l'article de wikipedia.
6 juin2019
 Le site Upsigma publie une brève histoire de la cybersécurité française du XVe siècle, époque de l'invention de l'imprimerie, à nos jours
Convaincu que toute réflexion sur les enjeux stratégiques actuels et futurs de la sécurité numérique se nourrira utilement d’un regard rétrospectif sur les origines de celle-ci, le site Upsigma publie une brève histoire de la cybersécurité française en plusieurs volets.

N'hésitez-pas à consulter ces intéressantes synthèses :
* Une brève histoire de la cybersécurité française, partie 1 : du XVe siècle à 1918.
* Une brève histoire de la cybersécurité française, partie 2 : de 1918 à 1947.
* Une brève histoire de la cybersécurité française, partie 3 : de 1947 à 1970.
* Une brève histoire de la cybersécurité française, partie 4 : de 1970 à 2010.
* 2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà (1/3).
* 2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà (2/3).
* 2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà (3/3).
3 juin2019
 Facebook se prépare à lancer une monnaie virtuelle, "GlobalCoin", fondée sur la technologie Blockchain, et probablement indexée sur le dollar
La future devise virtuelle de Facebook devrait être adossée à une monnaie contrôlée et émise par un État, et évoluant indépendamment des cours de l'or ou de l'argent. Le dollar américain fait office de favori pour servir de "tuteur" à la cryptomonnaie, permettant ainsi à Facebook de présenter une devise moins volatile et plus liquide que ses rivaux.

Pour en savoir plus, lire l'article de lecho.be.
2 juin2019
 Guillaume Poupard (ANSSI) : "Avec la 5G, nous entrons dans le domaine de la sécurité nationale"
À l'occasion des 10 ans de l'Agence Nationale de la Sécurité des Systèmes d'Information, son Directeur vient de donner une interview à clubic.com, dans laquelle il traite de sujets aussi variés que la 5G, la guerre économique sino-américaine, les métiers de l'Agence,...

Une interview que vous pouvez lire ici : article de clubic.com.
31 mai2019
 Une machine ENIGMA de la deuxième Guerre Mondiale est mise aux enchères aux USA à 200.000$ et... ne trouve pas preneur !
Une machine Enigma, étonnamment préservée, a été mise aux enchères hier par la société de vente aux enchères Nate D. Sanders, installée à Los Angeles en Californie. Elle était mise à prix à 200.000$. Utilisée pendant la Seconde Guerre mondiale par l’Allemagne nazie, il s'agit d'une Enigma 3, composée de 3 rotors et fournie dans sa boite d'origine en bois. L’emblème du Troisième Reich est gravé sur les roues en métal et la batterie est également celle d’origine. Le tout pèse environ 13 kilos.

Pour en savoir plus, lire l'article de Numerama.com.
Voir également les captures d'écran réalisées depuis le site de la société de ventes aux enchères : copie d'ecran 1 et copie d'ecran 2.
29 mai2019
 Une Intelligence Artificielle créée par Google prouve plus de 1200 théorèmes mathématiques
Un groupe de chercheurs de Google a développé un programme d'Intelligence Artificielle chargé de prouver des théorèmes mathématiques. Elle s'est fondée sur HOL Light Theorem Prover, un logiciel destiné à aider les mathématiciens à formaliser et vérifier leurs raisonnements. Certains mathématiciens y voient déjà l'avenir de la recherche dans ce domaine.

Pour en savoir plus, lire l'article de Clubic.com.
23 mai2019
 En hommage au cardinal Richelieu, la DGSE lance un curieux défi... pour un membre de l'ARCSI ?
La DGSE vient de lancer un défi portant sur le chiffrement, la cryptanalyse, la stéganographie, la programmation et la sécurité informatique… et a pensé au cardinal Richelieu.
Il suffit de se connecter à l'adresse ci-dessous et une page noir et vert s’affiche. Un message situé au-dessus d’un compte à rebours précise que l’on peut participer au challenge Richelieu jusqu’au 14/06/2019 à 12h00. Il est également possible d’obtenir un second message... et c'est tout... Avis aux "as" de l’informatique et aux cryptanalystes de l'ARCSI pour aller plus loin…

Pour en savoir plus, lire l'article de Opex360.com.
Pour le challenge, voir défi de la DGSE.
22 mai2019
 Pour l'ANSSI, la sécurité des objets connectés, c'est possible avec le logiciel libre ! La preuve avec le projet WooKey
Lors de la conférence Ready for IT qui vient de se tenir à Monaco, l'ANSSI a présenté le projet WooKey, reposant sur le logiciel libre. Ses différents mécanismes matériels et logiciels intégrés permettent d'assurer la résistance face à de nombreux types d'attaques sophistiquées.
Le partage de cette solution va permettre sa déclinaison vers d'autres usages tels que les capteurs, périphériques, systèmes industriels, véhicules... Sécuriser les composants de base et faire en sorte qu'ils soient largement réutilisés constitue pour l'ANSSI un moyen d’améliorer le niveau de sécurité de ces objets.

Pour en savoir plus, lire le communiqué de l'ANSSI.
21 mai2019
 le 24 juin prochain : Conférence "bilan des vulnérabilités IoT et recommandations" organisée par le Cercle d'Intelligence économique du Medef Hauts-de-Seine
Dans le cadre des ¨Lundi de la cybersécurité¨, qui se tiennent à Télécom ParisTech en collaboration avec ParisTech Entrepreneurs, venez assister à la conférence de Thomas Gayet, Directeur du CERT digital.security, premier CSIRT spécialisé sur la sécurité de l’Internet des Objets. Il présentera les princiaples failles de sécurité et les premières attaques réalisées, les nouveaux enjeux de sécurité ainsi que les démarches et les solutions possibles.

Pour en savoir plus, lire l'annonce du Medef92.

Conférence le 24 juin à 18H30, inscription obligatoire par mail à Béatrice Laurent : beatricelaurent.cde@gmail.com, avec dans l'objet "Inscription 24/06".
20 mai2019
 Authentification à facteurs multiples : la fin du SMS ? pas selon Google !
Déconseillé depuis bientôt trois ans aux USA par le "National Institute of Standards and Technology" (NIST), le message texte est toujours largement utilisé pour l’authentification à facteurs multiples. Or, Google vient de publier une étude montrant que le SMS reste l'un des moyens les plus sûrs pour se protéger contre les attaques automatisées. La clé de sécurité demeure la meilleure solution mais ensuite, Google prône l'usage de la demande de confirmation sur un terminal et le code OTP (One Time Password) envoyé par SMS.

Pour en savoir plus, lire l'article de LeMagIT.
Pour lire le post de Google, c'est ici.
17 mai2019
 ProtonMail introduit une bibliothèque de chiffrement PGP pour le langage de programmation GO
ProtonMail annonce le lancement du projet "GopenPGP", comprenant une bibliothèque OpenPGP de haut niveau ainsi que des bibliothèques de chiffrement Golang. Ce projet vise à faciliter l'utilisation du chiffrement OpenPGP dans les applications des développeurs mobiles et de bureau utilisant le langage GO (golang) tant pour Android (monde Google) que pour iOS (monde Apple), via la plateforme "ProtonMail Bridge".
A noter sa compatibilité avec la cryptographie à courbes elliptiques (voir notre actualité du 28 avril dernier).

Pour en savoir plus, lire l'article de ProtonMail.
15 mai2019
 L’ANSSI fête ses 10 ans le 4 juin prochain
Pour célébrer ses 10 ans d’existence, l’ANSSI, Agence nationale de la sécurité des systèmes d’information, propose le Cyber Festival #ANSSI10 qui rassemblera tous les grands acteurs du numérique avec lesquels elle évolue. Au programme de cet évènement ouvert sur invitation : tables rondes, débats, concours de pitchs, rencontres avec des experts et animations ludiques. Pour la clôture interviendra Claire Landais, secrétaire générale de la défense et de la sécurité nationale.

Pour en savoir plus, lire l'actualité de l'ANSSI.
Le programme est en téléchargement ici.

Pour une demande d'inscription (sous conditions), c'est ici.
15 mai2019
 Intel publie plusieurs bulletins de sécurité concernant des vulnérabilités de ses microprocesseurs, dont une nouvelle famille affectant la fonctionnalité d'exécution spéculative
Cette nouvelle famille de vulnérabilités qu'Intel appelle Microarchitectural Data Sampling (ou MDS) compte quatre failles. La plupart des processeurs serait affectée mais les puces les plus récentes disposeraient de correctifs au niveau matériel. Elles peuvent être exploitées à distance et peuvent entraîner une fuite d'informations telles que des mots de passe, des clés de chiffrement de disque ou encore l'historique de navigation.
L'impact pourrait potentiellement être important pour les fournisseurs de services Cloud et les environnements multi-Cloud, car il serait possible d'accéder à des données appartenant à d’autres utilisateurs.

Pour en savoir plus, lire l'article de Global Security Mag.
14 mai2019
 Les attaques par collision SHA-1 ne sont plus de la simple théorie
Deux chercheurs viennent de présenter la toute première attaque par collision avec préfixe choisi pour SHA-1, une version plus pratique de l'attaque réalisée pour la première fois par Google.
Si la fonction de hachage SHA-1 a théoriquement été cassée en 2005, la première attaque de collision réussie n'a été réalisée qu'en 2017. La nouveauté de la technique décrite est la réduction considérable du coût de la recherche de collisions avec un préfixe choisi pour SHA-1, presque identique à celui de la recherche d'une collision classique.
De telles attaques sont désormais économiquement viables et à la portée des cybercriminels et des groupes liés aux services de renseignement.

Pour en savoir plus, lire l'article de "ZDNet".
Quant aux spécialistes, ils pourront consulter le papier original, en anglais.
12 mai2019
 Un algorithme capable de prédire un cancer du sein cinq ans à l'avance
Gràce à l'étude des antécédents médicaux de 60.000 patientes, des chercheurs du MIT spécialisés en Intelligence Artificielle ont mis au point une méthode d'analyse pour évaluer si une femme est susceptible de développer un cancer du sein dans les cinq années qui suivent. L'algorithme a "appris" à reconnaître des changements dans le tissu mammaire qui sont précurseurs des tumeurs malignes. L'étude a notamment montré que l'algorithme a pu classer avec précision 31% des patientes comme étant à haut risque contre seulement 18% pour les méthodes traditionnelles. Cette stratégie serait applicable à d'autres contextes, comme les maladies cardiovasculaires, ou d'autres cancers comme celui du pancréas.

Pour en savoir plus, lire l'article de "santé magazine".
10 mai2019
 Algorithmes : une série de quatre émissions sur France Culture
Début mai, France Culture a consacré sa série d'émissions intitulées "Les chemins de la philosophie", animées par Adèle Van Reeth, aux algorithmes. Que se cache derrière ce mot, quelle est son histoire, comment comprendre cette méthode pouvant permettre de résoudre rapidement un problème,...:
Pour écouter directement ces podcasts sur le site de France Culture : l'émission "Les chemins de la philosophie".
5 mai2019
 2.000 euros pour celui qui décryptera une mystérieuse inscription sur un rocher dans le Finistère, un challenge pour un ARCSIste ???

la municipalité de Plougastel-Daoulas lance un appel national auprès des linguistes, historiens et autres spécialistes. La raison? Une roche dans l’anse du Caro, qui porte d'étranges inscriptions : des lettres ou groupes de mots gravés, à l'endroit ou à l'envers, incompréhensibles, des dates (1786 et 1789, correspondant à la construction du Fort du Corbeau, et 1920). Ces inscriptions auraient été faites par un soldat russe en garnison dans le fort..  

Pour en savoir plus, lire l'article de "letelegramme".

ARCSIstes, participez à l'appel !!!
Règlement de participation auprès de Véronique Martin, par mail : veronique.martin@mairie-plougastel.fr. Adresse postale : 1, rue Jean-Fournier, 29470 Plougastel-Daoulas.

Le dossier complet est disponible en téléchargement ici..

2 mai2019
 De nombreux de clients de messagerie électronique vulnérables aux usurpations de signature
Des chercheurs des universités de Bochum et de Münster ont découvert des vulnérabilités dans les standards OpenPGP et S/MIME, pouvant permettre d'usurper des signatures numériques. Une douzaine de clients de messagerie sont impactés, parmi les plus utilisés. Ce sont Thunderbird, Microsoft Outlook, Apple Mail, iOS Mail, GpgOL, KMail, Evolution, MailMate, Airmail, K-9 Mail, Roundcube, et Mailpile. Cinq types d'attaques ont été identifiés, permettant d'exploiter ces failles.

Pour en savoir plus, lire l'article de "thehackernews.com".
Le rapport complet, disponible en anglais sur Github, est consultable ici.

1er mai2019
 Bernard Fabrot, programmeur autodidacte belge, vient de résoudre un casse-tête cryptographique énoncé en 1999 par le MIT
Ron Rivest, professeur au "Computer Science and Artificial Intelligence Laboratory" du MIT américain, le créateur de l'énigme et bien connu en tant que le "R" de l'algorithme cryptographique RSA, avait estimé qu'il faudrait au minimum 35 ans avant qu'elle ne puisse être résolue. Mais le 15 avril dernier, Bernard Fabrot a réussi à déjouer tous les pronostics.
La résolution du code donnera lieu le 15 mai prochain à l'ouverture d'une capsule temporelle datant de 1999 contenant de nombreux articles de l'époque, et peut-être d'autres énigmes...

Pour en savoir plus, lire l'article de "www.rtbf.be".
Ou encore, l'article de "theregister.co.uk" (décrivant l'énigme).

28 avril2019
 Le SSL : pas qu’une simple technologie
Les entreprises se doivent de proposer aux internautes qui se rendent sur leur site internet toutes les garanties nécessaires pour leur permettre de surfer et d’échanger des informations en toute sécurité, et pour cela l'utilisation d'une liaison chiffrée de bout en bout est de plus en plus la norme via l'utilisation des technologies incontournables HTTPS et SSL (ou TLS). Enfin, il est plus que de bon sens pour un organisme français de sécuriser son site avec un Certificat SSL français ou européen.

Pour en savoir plus, lire l'article de "globalsecuritymag.fr".

A noter que l'ARCSI utilise ce type de technologie, son certificat https étant vérifié par l'organisme "Let's encrypt". Il suffit de cliquer sur le cadenas vert....

28 avril2019
 ProtonMail offre désormais la cryptographie à courbe elliptique, pour une sécurité et une rapidité accrues
L’équipe responsable de ProtonMail vient d'annoncer que son service de courrier électronique sécurisé prend désormais en charge la cryptographie à courbe elliptique (ECC) pour une meilleure sécurité et une rapidité accrue. Cette dernière sera à disposition de tous ses utilisateurs dans toutes les applications web, mobiles et de bureau du service de courrier électronique. Et si la société a pris la décision d'inclure la cryptographie par courbe elliptique en plus du chiffrement RSA, l'ECC deviendra de fait la norme par défaut pour toutes les nouvelles adresses sur ProtonMail.

Pour en savoir plus, lire l'article de "securite.developpez.com".

24 avril2019
 
Publication en français d'une étude de "Digital Content Next" sur les données personnelles collectées par Google
Publiée à l'été 2018 par le professeur Douglas Schmidt et son équipe de l’université Vanderbilt, une très intéressante étude sur la collecte massive des données personnelles par Google vient d'être traduite par Framalang.
Elle explique comment fait cette entreprise pour tout connaître sur ses utilisateurs, que ce soit via ses applications (YouTube, Maps, Gmail, ou le moteur de recherche) ou de manière passive, qu'il s'agisse de ses plateformes Android et Chrome, ou ses outils de publication (Google Analytics, AdSense) et de publicité (AdMob, AdWords).

Pour télécharger la version française de l'étude de "Digital Content Next", c'est ici.

Pour lire la version anglaise, rendez-vous sur : rapport DCN en anglais.
15 avril2019
 L'Agence nationale de la sécurité des systèmes d'information (ANSSI) présente son rapport annuel 2018 et les cinq grandes tendances de menaces
Bien qu'elle ait recensé beaucoup moins de cyberattaques en France en 2018 qu'en 2017 (1.869 signalements d'événement de sécurité numérique contre 2.435, 16 incidents majeurs contre 20, et 14 opérations de cyberdéfense au lieu de 12), l'Agence, par la voix de Guillaume Poupard, son Directeur général, estime que "la menace évolue rapidement" et que la crainte d'un cyber-Pearl Harbor est bien présente. Dans son rapport, elle insiste sur cinq grandes tendances de menaces : espionnage, attaques indirectes, opérations de déstabilisation et d'influence , opérations clandestines sur les cryptomonnaies et fraude en ligne.

Pour en savoir plus, lire l'article de "La Tribune".

Et pour télécharger le rapport 2018 de l'ANSSI "Construisons ensemble la confiance numérique de demain", c'est ici.

14 avril2019
 "Locked Shields" : La France, première nation au classement de l’exercice de Cyberdéfense organisé par l’Otan
Depuis 2010, le centre d’excellence de l’OTAN (CCD COE) organise "Locked Shields", un exercice majeur de cyberdéfense, qui réunit plus de 30 nations, dont la France. L’objectif est d’évaluer leur capacité à défendre un réseau informatique complexe face è des cyberattaques menées par un État fictif.

Cette année, c'est l'équipe France ANSSI - COMCYBER qui remporte la première place devant l'équipe tchèque.

Lire l'article sur opex360.com.
Pour mémoire, lire l'article "Locked Shields 2018" sur le portail des Armées.
9 avril2019
 La première édition de la "Paris Cyber Week" aura lieu du 5 au 6 juin 2019
Résultat des travaux de la CyberTaskForce, le nouvel évènement "Paris Cyber Week" ambitionne de devenir la référence du dialogue public/privé dans le domaine du numérique. Pour cela, il a adopté un format tourné vers l’échange, et des intervenants issus du monde politique sur les sujets de la transformation numérique et de la cybersécurité. L'évènement sera découpé en quatre grands thèmes : la transition écologique, la sécurité numérique, l’assurance et l’identité numérique.

Pour en savoir plus, lire : "paris-cyber-week".

8 avril2019
 Le Gouvernement secret : cinq émissions sur France Culture consacrées aux services de renseignement et à leur place dans nos démocraties
Début avril, France Culture a consacré sa série d'émissions intitulées "Matières à penser", animées par Antoine Garapon, aux services de renseignement. L’existence d’un "gouvernement secret" n’a cessé de hanter la politique. La collecte d’informations confidentielles recueillies à l’insu de tous est une pratique très ancienne qui pose des difficultés particulières à une démocratie censée agir en toute transparence... Cinq émissions téléchargeables sur notre site arcsi.fr :
Pour écouter les podcasts sur le site de France Culture : l'émission "matières à penser".

7 avril2019
 EverCrypt, une nouvelle suite d'outils de cryptographie numérique mathématiquement totalement sécurisée ?
"EverCrypt" est un ensemble d'outils de cryptographie numérique développé à partir de 2016 dans le cadre du projet Everest, une initiative menée par Microsoft Research pour pallier les insuffisances des bibliothèques cryptographiques de l'époque. Les concepteurs ont ainsi introduit une méthode qui rendrait leur suite invincible, et ce grâce à la vérification formelle. Le challenge a été de développer une plateforme de programmation unique mettant sur un pied d'égalité les mathématiques et le logiciel.

Pour en savoir plus, lire l'article de "securite.developpez.com".

5 avril2019
 La revue "Global Security Mag" désormais disponible en format pdf sur le site privé de l'ARCSI pour ses adhérents
Grâce au partenariat avec "Global Security Mag" et à l'accord de Marc Brami, son Rédacteur en chef, les numéros de ce magazine sont désormais disponibles en format pdf sur la partie privée du site de l'ARCSI.

1er avril2019
 L’ANSSI, Agence nationale pour la sécurité des systémes d’information, publie un intéressant rapport sur LockerGoga, rançongiciel soupçonné d’avoir été à l’œuvre chez Altran et Norsk Hydro.
L'Agence identifie des similitudes avec un autre malware, Ryuke, et estime que les cyberattaquants peuvent attendre longtemps afin de lancer le processus de chiffrement. Elle ajoute le recours systématique à deux services de messagerie électronique distincts pour les demandes de rançongiciel, la création d’un reverse shell pour agir à distance dans l’environnement compromis, et l’utilisation de psexec pour copier et exécuter le rançongiciel pour chiffrer les machines cibles.

Lire l'article du MagIT de présentation.

Le rapport lui-même est téléchargeable ici.
30 mars2019
 Des malfaiteurs dérobent pour 150.000 € de carburants en se servant dans les stations-service grâce à une télécommande dont le code secret était "0000" !
Les bandes organisées s'adaptent aux vulnérabilités des nouvelles technologies. L'une d'elles s'adonnait à un trafic de carburant depuis avril 2018 grâce à une télécommande permettant de déverrouiller les pompes des stations Total, trafiquée pour l'utiliser en mode manuel. Ils récupéraient ainsi des centaines de litres de gazole et d'essence dans des communes de la banlieue parisienne. Mais il faut dire que le code secret de la télécommande n’était pas un gage de sécurité absolue : "0000".

Lire l'article de l'Echo Républicain.
28 mars2019
 En 2018, près des deux tiers des entreprises ont subi des pannes liées à leurs certificats machine
Une étude de Venafi révèle qu'en 2018, près 60% des entreprises ont subi des pannes liées aux certificats, touchant tant leurs applications que leurs services opérationnels stratégiques. Plus de 550 DSI basés aux États-Unis, au Royaume-Uni, en France, en Allemagne et en Australie ont participé à cette étude, qui montre que 80 % des entreprises éprouvent des difficultés à protéger l'identité de leurs machines.

Lire l'article de Global Securit Mag.
Télécharger l'étude : Etude de Venafi-Forrester.
25 mars2019
 Quelles exigences de sécurité du Règlement Général européen pour la Protection des Données (RGPD)?
Le nouveau Règlement est censé protéger les personnes physiques dans le cadre du traitement de leurs données à caractère personnel et de la libre circulation de ces données au sein de l’UE. Ses dispositions ont pour objet de fournir des indications sur la mise en œuvre des règles de sécurité et des mesures organisationnelles appropriées au traitement de ces données. Dans un article, Jean-Pierre Mistral, Director Global Data Privacy, explique comment atteindre cet objectif de sécurité.

Lire l'article de Jean-Pierre Mistral
24 mars2019
 Palantir, Huawei, Kaspersky: le cri d'alarme d'un ancien de la DGSE sur la cybersécurité
Fondateur de la direction technique de la DGSE, Bernard Barbier, par ailleurs consultant en cybersécurité et membre du conseil d'administration de l'ARCSI, s'est exprimé dans le journal "Challenges" sur la dépendance européenne aux nouveaux acteurs du numérique.

Lire l'article de Bernard Barbier
23 mars2019
 Noms de domaine usurpés : l’Internet mondial est-il en danger ?
Fin février 2019, l’Internet Corporation for Assigned Names and Numbers (ICANN), organisme gérant les adresses IP et les noms de domaines utilisés sur le web, alertait sur les risques d’attaque systémique de l’Internet, et pointait plusieurs incursions. Pour comprendre ce qui est en jeu, Hervé Debar, Responsable du département "Réseaux et Services de Télécommunications" à Télécom SudParis, explique ce qu’il faut avoir en tête.

Lire l'article d'Hervé Debar
21 mars2019
 Les institutions européennes se préparent à des cyberattaques majeures
Dans un contexte de potentielles attaques informatiques de grande ampleur, le Conseil européen a adopté un Protocole européen de réponse d'urgence de maintien de l'ordre (EU Law Enforcement Emergency Response Protocol). Celui-ci donne un rôle croissant au Centre de cybercrime d'Europol pour établir la nature criminelle d'une cyberattaque.


Pour en savoir plus : article d'EUROPOL
20-21 mars2019
 Forum Sécurité@Cloud
Pendant deux jours se tiendra à Paris - Porte de Versailles le salon Cloud Computing World Expo. Dans ce cadre, un Forum dédié à la sécurité du Cloud, "Forum Sécurité@Cloud", donnera lieu à de nombreuses conférences sur le thème : "vers un Cloud de confiance? Enjeux, analyses, méthodologies".

Inscription gratuite obligatoire. Voir Forum "Sécurité@Cloud".
19 mars2019
 Des simulateurs Enigma, Typex et Bombe disponibles en libre accès
Pour célébrer ses 100 ans, le GCHQ, service de renseignement électronique britannique, a mis en ligne sur tweeter, des simulateurs des célèbres machines de cryptanalyse Enigma, Typex et Bombe. Il a ainsi conçu une application web simple et intuitive sans avoir à utiliser des outils complexes et faire de la programmation.

Pour en savoir plus : article du blog du Modérateur.
18 mars2019
 Le nouveau projet "Red Team" de la Linux Foundation va développer des outils de cybersécurité open source
Annoncé par la fondation Linux lors de l'Open Source Leadership Summit, le projet "Red Team" sera un incubateur pour le développement d'outils de sécurité open source, incluant des programmes prenant en charge l’automatisation de "cyber range" (espaces virtuels simulant des attaques de hackers), des utilitaires de pentesting conteneurisés, une analyse de risque des fichiers binaires et des programmes de validation de normes.

Pour en savoir plus : Projet Red Team de la fondation linux.
18 mars2019
 Conférence "Les alliances dans le cyberespace"
organisée par le Cercle d'Intelligence économique du Medef IdF
Dans le cadre des ¨Lundi de la cybersécurité¨, qui se tiennent à Télécom ParisTech, venez assister à la conférence d'Olivier Kempf, auteur de ¨Alliances et mésalliances dans le cyberespace¨ (Economica). Docteur en science politique, chercheur associé à la FRS, Olivier Kempf est ancien Général (2S) responsable de la politique de cyberdéfense de l'armée de Terre.

Conférence à 18H30, inscription obligatoire. Voir Lundis de la cybersécurité

Un compte-rendu a été rédigé par Yélina Taibou DIALLO et Seddik CHARKI, accessible ici.
16 mars2019
 Pour fêter le 14 mars, "jour de PI", Google explose le calcul du nombre de ses décimales
Après 111 jours de calcul de 25 processeurs de l’infrastructure Google Compute Engine utilisant 96 machines virtuelles, et un programme spécialement conçu par Emma Haruka Iwao, ingénieure de Google, le précédent record de 22,4 mille milliards de décimales vérifiées est explosé, pour être porté à 31,4 mille milliards.

Plus exactement 31.415.926.535.897 au lieu de 22.459.157.718.361.
On notera ici le clin d'oeil de la part de Google....

Pour en savoir plus : Google explose le calcul de PI.
13 mars2019
 L’OTAN choisit la technologie de chiffrement voix de BlackBerry pour sécuriser ses appels
L'OTAN annonce que son Agence NCIA (NATO Communications and Information Agency) a choisi la solution SecuSUITE de BlackBerry pour le chiffrement des communications de ses responsables en technologies et en cybersécurité, aussi bien sur leur lieu de travail qu'à leur domicile, et lors de leurs déplacements à l’étranger.

"La NCIA aide les 29 pays membres de l’OTAN à communiquer en toute sécurité. Face à des cybercriminels et des acteurs cautionnés par des États qui redoublent d’ingéniosité, il nous fallait une solution ultra-sécurisée pour protéger les conversations de nos responsables indépendamment de leur situation géographique", a précisé le Directeur général de la NCIA.

Pour en savoir plus : article de Global Security Mag.
11 mars2019
 Episode de "NoLimitSecu" dédié à la standardisation en matière de cryptographie
Le blog de cybersécurité "NoLimitSecu" a consacré son émission du jour à la standardisation en matière de cryptographie. Pour en parler, Jean-Philippe Aumasson, spécialiste de chiffrement IoT, blockchain et cryptomonnaies mais aussi de normalisation dans le domaine, et Emilien Gaspar, rédacteur en chef adjoint de la revue MISC. Pour leur donner la réplique, quatre membres de "NoLimitSecu" dont deux ARCSistes, Hervé Schauer et Nicolas Ruff, accompagnés de Marc-Frédéric Gomez et Johanne Ulloa.

Pour écouter le podcast, le fichier mp3 est ici.
4-8 mars2019
 Du 4 au 8 mars se tient à San Francisco la "RSA Conference". Pour plus d'informations, consulter  www.rsaconference.com/
De nombreuses conférences sont en ligne sur YouTube:


26 février2019
 l'OS mobile de Google "Android" obtient à son tour la certification FIDO 2
Cette certification permettra aux mobiles fonctionnant sous Android 7.0 et plus d'utiliser la reconnaissance biométrique intégrée comme moyen d'authentification, et d'utiliser des clés de sécurité FIDO afin d'accéder de manière sécurisée aux sites Internet et applications intégrant le protocole FIDO 2. Ce dernier est déjà supporté par Google Chrome, Microsoft Edge, Mozilla Firefox et Apple Safari.

Voir en particulier l'article de Alliance FIDO
22 février2019
 Campagne mondiale d’attaque DNS : manipulation d’enregistrements DNS à grande échelle
L’organisme international qui attribue les adresses internet (ICANN) avertit que des attaques pour compromettre le système des noms de domaine (« Domain Name System », DNS) sont en cours, ce qui pourrait entraîner des redirections à grande échelle du trafic mondial de données. Il appelle à déployer le protocole DNSSEC, pour "Domain Name System Security Extensions".

Voir en particulier l'article de Global Security Mag
18 février2019
 Création d'123 CyberD, premier fonds d'investissement entièrement dédié à la cybersécurité
Ce fonds est lancé par 123 Investment Managers, société de gestion indépendante. Géré par Philippe Gaillard, entrepreneur en cybersécurité, et Thomas Jesson, ancien de la DGSE, l'objectif est de lever entre 35 et 50 millions d'euros rapidement, et créer un lieu proche du Ministère des Armées capable d'accueillir de jeunes pousses dans un endroit sécurisé.

Voir l'article de Challenges
15 février2019
 La plateforme d’attaquants éthiques "Yes We Hack" lève quatre millions d’euros pour se renforcer à l’international
"Yes We Hack" met en relation des organisations ayant des besoins en matière de sécurité de l'information, avec une communauté d'attaquants éthiques qui réalisent des chasses aux bogues ("Bug Bounty"). Fondée en France en 2013, elle revendique plus de 7000 participants répartis dans 120 pays.

Pour en savoir plus :  article de French Web
10 février2019
 Microsoft rejoint la communauté de standardisation des solutions libres pour flux logistiques OpenChain
La communauté du libre OpenChain identifie et promeut l'application de standards communs pour le développement des applications de flux logistiques, pour que toutes les entreprises puissent en disposer tout en respectant leurs obligations informatiques légales. De nombreuses grandes entreprises avaient déjà rejoint le projet, comme Facebook, Google, et Uber en janvier 2018.

Pour en savoir plus :  article de OpenChainProject
7 février2019
 Google introduit la méthode de chiffrement ChaCha20 pour les appareils dotés de processeurs de faible capacité, en remplacement d'AES
Cette méthode appelée "Adiantum" permettra aux équipements de faible puissance, comme les téléphones d'entrée de gamme ou les montres connectées, d'avoir des capacités de chiffrement sans diminuer leurs performances. La famille de chiffreur de flux ChaCha20 (une variante de SalSa20) remplacera AES (Advanced Encryption Standard) sur ces matériels. Google met en avant le fait que seules sont utilisées des opérations de base (addition, rotation et ou exclusif).

Pour en savoir plus :  Google introduit Adiantum



 
Partie réservée
aux membres
Bulletins, albums photos,
AG, dîners annuels, etc.
+
version pdf du magazine
Global Security Mag
  
Retrouvez toutes les vidéos
de l'association sur la chaîne
Dailymotion de l'ARCSI.



Les mots du Président
spacer
Les mots du Président




Les contributions de l'ARCSI
spacer
Les contributions
de l'ARCSI




Publications des membres
spacer
Publications des membres

comment.gif  Dernière publication
RGDP et Droit des
données personnelles
Fabrice Mattatia





spacer
Crypto : Le Webdoc'
de l'ANSSI