Philippe WERLE

SSI DCP – Pourquoi WhatsApp ne sera jamais sécurisé

par

Zataz

Pourquoi WhatsApp ne sera jamais sécurisé

Damien Bancal

Le monde semble choqué par le fait que WhatsApp a transformé tout téléphone en logiciel espion. Tout sur votre téléphone, y compris les photos, les courriels et les textes, était accessible aux attaquants simplement parce que vous aviez WhatsApp installé.

Explication de Pavel Durov, fondateur de la messagerie Telegram.

L’année dernière, WhatsApp a dû reconnaître que son problème était très similaire: un simple appel vidéo était tout ce dont un pirate avait besoin pour accéder à l’intégralité des données de votre téléphone [1] .

Chaque fois que WhatsApp doit corriger une vulnérabilité critique dans son application, une nouvelle semble apparaître à sa place. Tous leurs problèmes de sécurité conviennent parfaitement à la surveillance, et ressemblent beaucoup à des portes dérobées (backdoor).

Un chercheur en sécurité ne peut pas vérifier le code source de Whatsapp. Contrôler s’il y a des portes dérobées dans son code. WhatsApp ne publie pas son code source. Ils font exactement le contraire: WhatsApp masque délibérément les fichiers binaires pour s’assurer que personne ne soit en mesure de les étudier.

WhatsApp et sa société mère Facebook peuvent même être amenés à implémenter des backdoors – via des processus secrets tels que ceux réclamés par le FBI [3]. Il n’est pas facile de lancer une application de communication aux États-Unis. Une semaine aux États-Unis, en 2016, a valu 3 tentatives d’infiltration du matériel d’employés de Telegram par le FBI [4] [5] .

Imaginez ce que 10 années dans cet environnement peuvent entraîner pour une société aux États-Unis.

https://www.zataz.com/pourquoi-whatsapp-ne-sera-jamais-securise/amp/

SSI RH – La Direction des Ressources Humaines dans l’angle mort de la cybersécurité ?

par

Observatoire FIC

Carrefour des réflexions sur la cybersécurité

par Jean-Christophe Le Toquin

Du FIC 2019[i] à PWC[ii] en passant par Kaspersky[iii] pour ne citer que les sources les plus récentes, il est maintenant entendu par tous que l’approche technico-centrée de la cybersécurité a vécu. Selon Deloitte[iv], 63% des incidents de sécurité dans l’entreprise sont liés à une action malintentionnée ou à une erreur d’un collaborateur. Place donc à l’humain.Dans ce contexte, place aux Directions des Ressources Humaines !Sur le cœur de métier de la cybersécurité, la formation et le recrutement d’experts techniques en cybersécurité est à la peine et aucune solution miraculeuse n’est en vue pour former assez de spécialistes. Et le remède miraculeux ne viendra pas de la technologie : l’empilement des solutions techniques est déjà vécu une fois sur deux comme aggravant la complexité opérationnelle et réduisant la visibilité sur la politique de cybersécurité de l’entreprise[v].Sur l’ensemble de la population de l’entreprise, l’œuvre de sensibilisation est immense, et les DRH ont tout leur rôle à jouer.Pourtant, on ne les entend guère. Pourquoi ? Peut-être parce qu’on ne les mobilise pas. Les précieux rapports précités ne les mentionnent pas spécifiquement, et se contentent de conseils adressés à l’entreprise et à la direction générale de manière générique. Peut-être aussi parce que la cybersécurité traine toujours comme un boulet ce qui fait sa fierté : sa complexité technique.Je ne suis pas le seul à vouloir approcher les experts des ressources humaines, à vouloir le faire entrer dans le grand cercle des hommes et des femmes qui construisent la cybersécurité, à espérer leur implication, leur soutien. J’ai pu en approcher quelques-uns. Ils me disent c’est une bonne idée, qu’il faudra le faire. Dans un an, dans deux ans peut-être, oui, dans deux ans probablement le moment serait venu. Nous serons en 2021….
https://observatoire-fic.com/la-direction-des-ressources-humaines-dans-langle-mort-de-la-cybersecurite-par-jean-christophe-le-toquin/

RGPD – CNIL Notifier une violation

par

Qu’est-ce qu’une violation de données à caractère personnel ?

Pour qu’il y ait violation, 2 conditions doivent être réunies :

Vous avez mis en œuvre un traitement de données personnelles.

Ces données ont fait l’objet d’une violation (perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite).

Que faire en cas de violation ?

Dans tous les cas, vous devez documenter en interne l’incident en déterminant :

  • la nature de la violation
  • si possible, les catégories et le nombre approximatif de personnes concernées par la violation
  • les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;
  • décrire les conséquences probables de la violation de données ;
  • décrire les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.

https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles

SSI GOV – Higher Education Faces a Unique Cyber Threat Landscape

par

Philippe Werle

FireEye executive perspective blog

by Chris Schreiber

« Data security remains a top priority among IT leaders in higher education. Yet according to the 2018 Campus Computing Survey, only 35 percent rate their security programs as « excellent. »

Colleges and universities face a unique threat landscape, and institutions will remain targets … »

https://www.fireeye.com/blog/executive-perspective/2019/04/higher-education-faces-a-unique-cyber-threat-landscape.html

Elections Européennes : FireEye observe les activités malveillantes de groupes russes

par

« FireEye pense que les deux groupes responsables de ces activités, « APT28 » et « Sandworm Team », sont tous deux sponsorisés par l’état russe. En plus du ciblage d’organisations gouvernementales européennes, les deux groupes ont également ciblé des organes de presse en France et en Allemagne, des groupes politiques d’opposition en Russie, et des organisations LGBT ayant des liens avec la Russie. »

http://www.globalsecuritymag.fr/Elections-Europeennes-FireEye,20190506,86755.html

RGPD – Alerte Whatsapp – DPC Ireland

par

Vulnérabilité Whatsapp – ALERTE RGPD

« 14th May 2019

The Data Protection Commission (DPC) has been informed (Monday evening 13 May 2019) by WhatsApp Ireland of a serious security vulnerability on the WhatsApp platform. The DPC understands that the vulnerability may have enabled a malicious actor to install unauthorised software and gain access to personal data on devices which have WhatsApp installed. »

https://www.dataprotection.ie/en/news-media/press-releases/dpc-statement-whatsapp-security-incident

SSI DEV – Attaque de Github et rançon en Bitcoin

par

Des hackers vident les dépôts Github et réclament une rançon en Bitcoin

Par Morgan Fromentin,
3 minutes – 7 mai 2019 à 13h30.

« GitHub, et d’autres plates-formes similaires, ont été victimes d’une attaque synchronisée.

Des hackers ont pris en otage des centaines de dépôts et réclament une rançon en Bitcoin à leurs propriétaires. »

https://www.begeek.fr/des-hackers-vident-les-depots-github-et-reclament-une-rancon-en-bitcoin-315234/amp