Source: http://it.slashdot.org/story/10/07/16/122259/Millions-of-Home-Routers-Are-Hackable

Selon une étude fait par Trustwave, 38% des cartes de crédit piraté l’an dernier implique l’industrie hôtelière! Lisez pourquoi dans l’article ci-dessous.

Article: http://www.nytimes.com/2010/07/06/business/06road.html?_r=1&src=busln (Anglais)

La présentation aura lieu le 31 mars prochain dans les locaux du CRIM au 405, avenue Ogilvy, bureau 101.

Le coût est de $35, le déjeuner est inclus…

On vous attend en grand nombre!

François Meehan

Article complet: http://technaute.cyberpresse.ca/nouvelles/internet/201002/24/01-954811-hausse-des-attaques-informatiques-avec-la-crise.php

Le premier livre de Kevin D. Mitnick, “The Art Of Deception” (ISBN-13: 978-0764542800), est un genre de lecture différente sur la sécurité de l’information. Kevin fut longtemps le pirate informatique le plus recherché par le FBI. Maintenant consultant en sécurité de l’information, il partage avec nous dans ce livre, ces expériences acquis à travers les ans. Au lieu de décrire en détails comment pénétrer les pare-feu et le code, Kevin écrit à propos de sa spécialité: L’ingénérie Sociale (Social Engineering).

À priori, j’ai décidé d’acheté ce livre pour en apprendre plus à propos de l’ingénérie sociale, et je dois dire que Kevin a réussi sa mission, j’ai beaucoup appris. En passant à travers les chapitres, vous découvrez une toute nouvelle façon d’attaquer les réseaux, à travers leur maillon le plus faible: les gens qui le contrôle et l’utilise.

Comme je travail en sécurité de l’information depuis quelques années, j’ai souvent entendu que “la secrétaire ne donnerais pas sont mot de passe”, soit parce qu’elle est futée ou parce qu’elle sait qu’il ne faut pas le faire. Ceci dit, ce livre vous fait réalisé à quel point il peut être facile de trompé cette secrétaire futée pour qu’elle donne sont mot de passe à un pirate qui utilise l’ingénérie sociale, non pas parce qu’elle n’est pas intelligente, mais plutôt parce que l’ingénérie sociale c’est l’art d’influencé et de persuadé pour en arriver au but: la cueillette d’information. Cette information peut être in différente forme, comme un nom d’utilisateur, un mot de passe, un numéro de fournisseur ou un NIP, etc… Plusieurs techniques peuvent être apprise dans ce livre, où la plupart ce base sur la confiance qu’un employee peut avoir envers un supérieur, un fournisseur de service ou un agent de la paix. En personifiant ces rôles, un pirate peut jouer le jeu selon ses règles et exploiter cette confiance.

Le livre vous donne beaucoup d’exemples téléphonique (peut-être un peu trop puis-ce que ça devient redondant vers la fin) pour vous faire réfléchir à propos de la façon dont l’information peut être divulgué. Les exemples vont d’un simple appel jusqu’à de multiple appels téléphonique complexe. Si vous êtes déjà un expert en ingénérie sociale, vous pouvez bénéficier de ces exemples pour vous améliorer.

Alors que les appels téléphonique sont plutôt utilisé dans la partie un et deux du livre, la partie trois va plus en détail sur les attaques physique (Physical penetration testing) et informatique. Des histoires écrite pour gardez votre esprit occupé par des questions comme “Qu’es-ce que je ferais dans cette situation?”, “Es-ce que je me ferais avoir par cela?” ou “Es-ce que je vérifie l’identité des visiteurs correctement?”. De leur côté, les attaques informatique décrive ce que nous, professionnels de la sécurité, sommes plus confortable à utilisé. Hameçonnage, attaque par dictionnaire ou cheval de Troie sont tous utilisé en conjonction avec l’ingénérie sociale pour cueillir de l’information.

Le dernier chapitre, “Chapter 16 – Recommended Corporate Information Security Policies” (Chapitre 16 – Politique de sécurité de l’information recommendé pour les entreprises), peut être très utile à quelqu’un qui écrit des politique en entreprise. Kevin a fait un excellent travail pour inclure les politiques souvent oublié relié au sujet principal. Chacune d’entre elles a une courte explication qui ce soint avéré utile pour moi.

Si vous cherchez de la lecture plutôt simple et amusante ainsi qu’une façon d’apprendre à propos de l’ingénérie sociale, je vous encourage à acheter ce livre. Même si quelques parties commence à être redondante vers la fin, c’est définitivement un livre à avoir sur le sujet.

Faisant partie des meilleurs pratique de sécurité, nous aimerions vous rappeler de vérifié quotidiennement que les signatures de votre anti-virus sont à mise à jour.

Article: http://www.eset.eu/press-computer-worldwide-targetted-by-MBR-Worm (Article en anglais)

Article complet: Les entreprises toujours peu rassurées face au Cloud Computing

“Les policiers britanniques révèlent avoir procédé aux deux premières arrestations en sol européen relativement à la propagation d’un virus informatique qui a infecté des dizaines de milliers d’ordinateurs à travers le monde. ”

Article complet: La police britannique arrête deux présumés pirates informatiques

Cedval Info fait maintenant parti des fournisseurs en services de sécurité de l’information pour la Filière PME de L’Institut de sécurité de l’information du Québec (ISIQ).

Nous sommes très heureux de pouvoir apporter notre contribution à cet organisme qui fait la promotion de la culture de la sécurité de l’information dans les entreprises et les organisations Québécoises.

Pour de plus amples informations:

https://www.isiq.ca/entreprise/filiere_pme/Fiches_renseignements/fiche_0031.html

François Meehan
Président, Cedval Info inc.

Source: http://isc.sans.org/diary.html?storyid=7276&rss (Article en anglais)