Le Comptoir Sécu

Bonjour à tous!

Nous venons de tourner le troisième SEC Hebdo du mois de mars 2017 en Live ! Comme d’habitude, si vous avez raté l’enregistrement, vous pouvez le retrouver sur notre chaîne Youtube:

Ou bien au format podcast audio:

Notre discord : discord.comptoirsecu.fr
A bientôt pour d’autres émissions/podcasts!

Liste des news:

• Retour sur la conférence JSSI 2017
  • http://www.ossir.org/jssi/index/jssi-2017.shtml



• Fuite de données chez Verifone
  • https://krebsonsecurity.com/2017/03/payments-giant-verifone-investigating-breach/



• Le point commun entre iOS et la Nintendo Switch? Une bonne grosse vuln!
  • https://pegaswitch.com/
  • https://www.youtube.com/watch?v=xkdPjbaLngE
  • http://www.zdnet.fr/actualites/non-la-switch-de-nintendo-n-a-pas-encore-ete-piratee-39849734.htm



• Vulnérabilité sur Apache Struts 2
  • https://cwiki.apache.org/confluence/display/WW/S2-045
  • http://blog.talosintelligence.com/2017/03/apache-0-day-exploited.html



• Linkedin bloqué complètement en Russie
  • http://www.fredzone.org/blocage-linkedin-russie-554
  • http://www.liberation.fr/planete/2016/11/17/en-russie-les-autorites-bannissent-linkedin_1529067



• Google met les bouchées doubles sur son cloud, en misant sur la sécurité comme facteur différenciant
  • http://www.infoworld.com/article/3179138/security/google-tries-to-beat-aws-at-cloud-security.html
  • https://www.blog.google/topics/google-cloud/bolstering-security-across-google-cloud/



• Une étude de l’association RAND Corporation sur les 0days
  • https://www.rand.org/pubs/research_reports/RR1751.html



• La prise en compte de la sécurité dans les tests de Consumer Reports
  • http://www.consumerreports.org/privacy/consumer-reports-to-begin-evaluating-products-services-for-privacy-and-data-security/
  • https://github.com/TheDigitalStandard



• WikiLeaks fera bien du responsible disclosure sur les exploits contenu dans Vault7
  • https://www.nextinpact.com/news/103635-vault-7-wikileaks-aidera-editeurs-intel-vlc-et-notepad-reagissent.htm

Bonjour à tous!

Nous venons de tourner le deuxième  SEC Hebdo du mois de mars 2017 en Live ! Comme d’habitude, si vous avez raté l’enregistrement, vous pouvez le retrouver sur notre chaîne Youtube:

Ou bien au format podcast audio:

Le discord: discord.comptoirsecu.fr
Le strawpoll: http://www.strawpoll.me/12489497/r
La chaine de Micode: https://www.youtube.com/channel/UCYnvxJ-PKiGXo_tYXpWAC-w

Liste des news:

Wikileaks balance les pokemons de la CIA Vault7 (3:42)

• https://wikileaks.org/ciav7p1/cms/index.html


• https://www.nytimes.com/2017/03/07/world/europe/wikileaks-cia-hacking.html?_r=0


• https://wikileaks.org/ciav7p1/cms/page_13763790.html


• https://wikileaks.org/ciav7p1/cms/page_12353643.html


• https://wikileaks.org/ciav7p1/cms/page_14587109.html


• https://wikileaks.org/ciav7p1/cms/page_26607630.html


• https://wikileaks.org/ciav7p1/cms/page_13763790.html


• https://wikileaks.org/ciav7p1/cms/page_12353643.html


• https://wikileaks.org/ciav7p1/cms/page_524313.html


• https://wikileaks.org/ciav7p1/cms/files/NOD%20Cryptographic%20Requirements%20v1.1%20TOP%20SECRET.pdf


• https://wikileaks.org/ciav7p1/cms/page_2064514.html


• https://wikileaks.org/ciav7p1/cms/page_14587109.html


• https://wikileaks.org/ciav7p1/cms/files/NOD%20Cryptographic%20Requirements%20v1.1%20TOP%20SECRET.pdf

Un spammer fait fuiter tous ses backups sur internet (28:23)

• http://www.csoonline.com/article/3176433/security/spammers-expose-their-entire-operation-through-bad-backups.html


• http://www.numerama.com/tech/238644-river-city-media-cet-empire-du-spam-qui-revendait-plus-dun-milliard-dadresses-email.html

Ransomware satan analysé (36:14)

• https://nakedsecurity.sophos.com/2017/03/07/satan-ransomware-old-name-new-business-model/

85 vulnérabilités dans les NAS WD pas encore patchées (41:25)

• https://www.bleepingcomputer.com/news/security/multiple-unpatched-vulnerabilities-discovered-in-western-digital-nas-hard-drives/


• https://www.exploitee.rs/index.php/Western_Digital_MyCloud

Collard publie ses mdp sur twitter (44:06)

• http://www.leparisien.fr/politique/gilbert-collard-publie-par-erreur-ses-mots-de-passe-sur-twitter-08-03-2017-6743490.php

La CNIL publie un guide pour chiffrer doc et HDD (46:11)

• https://www.nextinpact.com/news/103550-la-cnil-vous-explique-comment-chiffrer-vos-documents-et-disques-durs.htm


• https://www.cnil.fr/fr/comment-chiffrer-ses-documents-et-ses-repertoires

Un rapport sur l’impact du piratage de nos futurs robots (53:43)

• http://www.ioactive.com/pdfs/Hacking-Robots-Before-Skynet.pdf

0Patch et Guerilla Patching

• https://nakedsecurity.sophos.com/2017/03/07/google-leads-guerilla-patching-of-big-vulnerability-in-open-source-projects/

Pas de vote électronique a l’étranger en 2017

• https://www.nextinpact.com/news/103560-lanssi-sexplique-sur-annulation-vote-electronique-francais-l-etranger.htm

Le phishing sur les réseaux sociaux

• https://heimdalsecurity.com/blog/fake-facebook-scams/

A bientôt pour d’autres émissions/podcasts!

Bonjour à tous!

Nous venons de tourner le premier SEC Hebdo du mois de mars 2017 en Live ! Comme d’habitude, si vous avez raté l’enregistrement, vous pouvez le retrouver sur notre chaîne Youtube:

Ou bien au format podcast audio:

A bientôt pour d’autres émissions/podcasts!

Liste des news :

• SHAttered
  • http://shattered.io/



• CloudBleed
  • https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/
  • https://bugs.chromium.org/p/project-zero/issues/detail?id=1139



• Au secours, les gestionnaire de mots de passe sur Android sont vulnérables
  • https://www.nextinpact.com/news/103506-sur-android-chercheurs-pointent-vulnerabilites-dans-gestionnaires-mots-passe.htm



• LED-it-GO : exfiltration des informations d’un ordinateur à travers la LED du disque dur
  • https://www.youtube.com/watch?v=4vIu8ld68fc
  • https://arxiv.org/ftp/arxiv/papers/1702/1702.06715.pdf



• Microsoft va bientôt permettre de bloquer l’installation des applications Win32
  • https://www.bleepingcomputer.com/news/microsoft/upcoming-windows-10-feature-will-block-installation-of-win32-apps/



• L’équipe Project Zero de Google continue de publier des nouvelles vulnérabilités Microsoft et y rajoute … un POC
  • http://thehackernews.com/2017/02/google-microsoft-edge-bug.html



• Générer des nombres aléatoires pour la sécurité des objets connectés via une puce dédiée
  • http://www.silicon.fr/securiser-iot-puce-dediee-169501.html
  • http://www.iotevolutionworld.com/iot/articles/429944-quantum-iot-networks-what-expect-when.htm



• Les exécutifs de Yahoo! ont ignoré les équipes sécurité lors des événements des fuites de données de 2014
  • https://www.infosecurity-magazine.com/news/yahoo-execs-security-team-over
  • https://www.sec.gov/Archives/edgar/data/1011006/000119312517065791/d293630d10k.htm#tx293630_17



• HTTPS everywhere aiderait les scammers
  • https://textslashplain.com/2017/01/16/certified-malice/

Bonjour à tous!

Nous venons de tourner le quatrième SEC Hebdo du mois de février 2017 en Live! Comme d’habitude, si vous avez raté l’enregistrement, vous pouvez le retrouver sur notre chaîne Youtube:

Ou bien au format podcast audio:

Note: Suite à un problème technique (noise gate un peu trop violente), la voix de Morgan est parfois entrecoupée de courts silences. nous ne pouvons malheureusement rien y faire a posteriori. Nous ferons en sorte de régler le souci pour le prochain enregistrement.

A bientôt pour d’autres émissions/podcasts!

Liste des news:

• PornHub : quand la censure du porno sur le Google Play pose un problème de sécurité
  • http://www.numerama.com/tech/234466-pornhub-ransomware-la-censure-du-porno-sur-le-google-play-pose-un-probleme-de-securite.html
  • https://thenextweb.com/insider/2017/02/20/pornhub-malware-android-smartphone/



• Des chercheurs mettent au point un ransomware POC qui cible les systèmes industriels
  • http://www.rh.gatech.edu/news/587359/simulated-ransomware-attack-shows-vulnerability-industrial-controls
  • http://thehackernews.com/2017/02/scary-scada-ransomware.html



• Sécurité des IoT de seconde main, etes vous sur que l’ancien propriétaire n’y a plus accès?
  • https://nakedsecurity.sophos.com/2017/02/22/sure-you-might-have-bought-the-car-but-does-someone-else-control-it/



• Transformer des écouteurs en micros
  • https://www.youtube.com/watch?v=ez3o8aIZCDM
  • https://arxiv.org/ftp/arxiv/papers/1611/1611.07350.pdf



• Google se fâche encore avec Microsoft via son Project 0
  • https://nakedsecurity.sophos.com/2017/02/22/google-outs-windows-flaw-after-microsoft-misses-a-patch-deadline/



• Des poupées qualifiées de spyware par le gouvernement allemand
  • https://www.theguardian.com/world/2017/feb/17/german-parents-told-to-destroy-my-friend-cayla-doll-spy-on-children



• Un français attaque Uber en justice
  • https://nakedsecurity.sophos.com/2017/02/15/man-sues-uber-after-privacy-flaws-led-to-his-divorce/



• Libsodium bientot inclue par défaut dans PHP
  • https://www.bleepingcomputer.com/news/security/php-becomes-first-programming-language-to-add-modern-cryptography-library-in-its-core/



• Vidéo de la semaine : un reportage passionnant sur le parcours complexe de l’élaboration de la GDPR au Parlement Européen
  • http://www.arte.tv/guide/fr/045391-000-A/democracy