Actualités

Gestion des vulnérabilités et des correctifs (patchs)

• novembre 20, 2015 20 nov.'15

  Des vulnérabilités trop nombreuses pour être gérées efficacement

  Une étude de NopSec sur la gestion des vulnérabilités fait apparaître des RSSI noyés sous l’information et les faux positifs, et minés par le manque de ressources.  Lire la suite

• novembre 10, 2015 10 nov.'15

  D’importantes vulnérabilités sur SAP HANA

  Onapsis vient d’identifier 21 vulnérabilités de sécurité susceptibles de menacer les déploiements HANA, dont 9 qualifiées de critiques.  Lire la suite

• novembre 10, 2015 10 nov.'15

  SecludIT s’attaque à la surveillance en continu des vulnérabilités

  Fondée en 2011, cette start-up française propose une solution permettant d’accélérer le rythme des recherches régulières de vulnérabilités dans l’infrastructure sans perturber la production.  Lire la suite

• octobre 30, 2015 30 oct.'15

  Xen corrige une vulnérabilité critique vieille de sept ans

  Les porteurs du projet Xen viennent de corriger un bug permettant à une machine virtuelle hôte de prendre le contrôle complet du système hôte. Il traîne dans le code de l’hyperviseur depuis sept ans.  Lire la suite

• octobre 23, 2015 23 oct.'15

  Cartes bancaires : une vulnérabilité connue exploitée discrètement

  Des chercheurs viennent de publier un rapport d’étude sur l’exploitation concrète mais discrète d’une vulnérabilité affectant les cartes EMV et connue depuis plus de 5 ans.  Lire la suite

• septembre 15, 2015 15 sept.'15

  Une importante vulnérabilité dans l’embarqué VxWorks

  Un chercheur a profité de la conférence londonienne 44Con pour dévoiler d’importantes vulnérabilités dans le système d’exploitation embarqué VxWorks.  Lire la suite

• septembre 14, 2015 14 sept.'15

  Vulnérabilités : FireEye au cœur d’une controverse

  L'équipementier est pointé du doigt pour ses demandes appuyées de suppression d'informations relatives à des vulnérabilités découvertes dans ses produits. Protection de sa propriété intellectuelle, répond-il.  Lire la suite

• septembre 09, 2015 09 sept.'15

  Microsoft corrige cinq vulnérabilités critiques

  Le train de correctifs de l’éditeur pour le mois de septembre concerne cinq vulnérabilités critiques, dont deux permettant d’exécution de code à distance dans Office.  Lire la suite

• septembre 08, 2015 08 sept.'15

  Des vulnérabilités dans les produits Kaspersky et FireEye

  L’éditeur russe a réagi dans les 24h à la divulgation d’une vulnérabilité, remerciant au passage le chercheur controversé Tavis Ormandy pour son travail.  Lire la suite

• septembre 04, 2015 04 sept.'15

  Fortinet corrige des vulnérabilités dans son agent pour poste client

  L’agent FortiClient pour les postes utilisateurs est disponible dans une version mise à jour après la découverte de vulnérabilité permettant de prendre le contrôle à distance des machines compromises.  Lire la suite

• août 21, 2015 21 août'15

  Quicksand : une vulnérabilité iOS dédiée aux entreprises

  Alors qu’Apple s’efforce depuis plusieurs années de répondre aux attentes des entreprises avec son système d’exploitation mobile, ce dernier s’avère affecté par une sévère vulnérabilité corrigées avec sa toute récente version 8.4.1.  Lire la suite

• août 20, 2015 20 août'15

  Analyse comportementale : dépasser la vulnérabilité de l’humain

  Comment savent-elles qui fait quoi ? Les nouvelles technologies comportementales utilisent les sciences des données pour superviser l’activité des utilisateurs sur le réseau.  Lire la suite

• juillet 28, 2015 28 juil.'15

  Une nouvelle vulnérabilité façon Venom pour Qemu

  Celle-ci permet d’échapper au confinement d’une machine virtuelle pour remonter à l’hôte, mais cette fois-ci par l’émulation de lecteur de disque optique.  Lire la suite

• juillet 27, 2015 27 juil.'15

  HP effraie avec des vulnérabilités Windows Phone

  Dans le cadre de son initiative Zero Day, HP vient de dévoiler quatre vulnérabilités critiques permettant l’exécution de code à distance via Internet Explorer. Mais pour la version dédiée aux smartphones Windows, pas aux postes de travail.  Lire la suite

• juillet 24, 2015 24 juil.'15

  Des montres connectées hautement vulnérables

  HP Fortify s’est penché sur la sécurité applicative de dix montres connectées. Suffisant selon le groupe pour dénoncer des résultats « décevants » et une sécurité plus que perfectible. Mais l’étude pêche par son manque de transparence.  Lire la suite

• juillet 21, 2015 21 juil.'15

  Smartphones : Hacking Team montre une vulnérabilité généralisée

  Les données dérobées chez Hacking Team montre, si c’était encore nécessaire, qu’aucune plateforme mobile n’est à l’abri d’attaquants déterminés. Même BlackBerry qui a pourtant longtemps fait de la sécurité son principal argument commercial.  Lire la suite

• juin 29, 2015 29 juin'15

  Nouvelle vulnérabilité dans Qemu

  Après Venom, une vulnérabilité affecte Qemu, cette fois-ci via son émulateur d’interface réseau PCNET. De quoi attaquer l’hôte avec les privilèges accordés au processus Qemu.  Lire la suite

• juin 23, 2015 23 juin'15

  Vulnérabilité dans IE : en désaccord avec Microsoft, HP balance

  En février dernier, une équipe de chercheurs de HP a été récompensée par Microsoft pour une vulnérabilité découverte dans Internet Explorer mais que l’éditeur ne souhaite pas corriger.  Lire la suite

• juin 19, 2015 19 juin'15

  SAP HANA, une cible alléchante et vulnérable

  ERPScan alerte d’un intérêt croissant des pirates pour SAP HANA, lequel présente un nombre important de vulnérabilités connues.  Lire la suite

• juin 18, 2015 18 juin'15

  Graves vulnérabilités au sein d’OS X et d’iOS

  Six chercheurs ont identifié des vulnérabilités permettant à des applications malveillantes d’échapper au sandboxing d’Apple pour accéder aux données sensibles d’autres applications.  Lire la suite

• juin 05, 2015 05 juin'15

  F-Secure s’offre un spécialiste du test de vulnérabilités

  L’éditeur vient d’annoncer le rachat du danois nSense, spécialiste du test d’intrusion et de l’évaluation de vulnérabilités.  Lire la suite

• mai 20, 2015 20 mai'15

  Logjam : une vulnérabilité majeure dans l’échange de clés

  Plusieurs chercheurs viennent de montrer comment l’algorithme d’échange de clés de chiffrement Diffie-Hellman s’avère vulnérable aux attaques de type man-in-the-middle. Les serveurs VPN, SSH et HTTPS sont concernés.  Lire la suite

• mai 19, 2015 19 mai'15

  Venom, une vulnérabilité spécifique aux environnements virtuels

  Une vulnérabilité affecte le code utilisé pour émuler un lecteur de disquettes dans les machines virtuelles. Elle pourrait permettre de remonter jusqu’à l’hôte physique.  Lire la suite

• mai 13, 2015 13 mai'15

  AlienVault corrige des vulnérabilités dans ses SIEM

  AlienVault propose des correctifs pour ses plateformes de gestion des informations et des événements de sécurité, après qu’un chercheur y avait découvert plusieurs vulnérabilités.  Lire la suite

• mai 11, 2015 11 mai'15

  Anssi : deux vulnérabilités potentielles dans OpenPGP

  L’agence a étudié deux « fragilités théoriques » dans trois implémentations du format de communication chiffré. Deux d’entre elles ont été mises à jour en conséquence.  Lire la suite

• avril 29, 2015 29 avr.'15

  Encore des banques vulnérables à Poodle

  Plusieurs mois après la découverte de la méthode d’attaque dite Poodle, les sites Web de certaines banques restent vulnérables.  Lire la suite

• avril 14, 2015 14 avr.'15

  Etude : la plupart des entreprises sont vulnérables aux menaces avancées

  Selon une étude réalisée par RSA, la plupart des entreprises ne sont pas préparées pour faire face aux menaces avancées et pour y réagir.  Lire la suite

• avril 07, 2015 07 avr.'15

  Quatre vulnérabilités dans TrueCrypt 7.1

  Le rapport d’audit final de l’outil de chiffrement TrueCrypt ne fait apparaître que quatre vulnérabilités. De quoi rassurer sur ses successeurs, CipherShed et VeraCrypt.  Lire la suite

• mars 11, 2015 11 mars'15

  Apple et Microsoft corrigent la vulnérabilité FREAK

  Apple et Microsoft ont pris la suite de Google en distribuant des mises à jour corrigeant la vulnérabilité FREAK, une semaine après sa divulgation.  Lire la suite

• mars 10, 2015 10 mars'15

  Vulnérabilités détectées dans les systèmes de contrôle aérien américain

  L’administration américaine de l’aviation civile a constaté des faiblesses qui menaceraient la capacité à gérer de manière sûre le contrôle de l’espace aérien Yankee. Elle appelle à renforcer la sécurité de ses systèmes.  Lire la suite

• février 24, 2015 24 févr.'15

  Un scanner gratuit de vulnérabilités pour Google App Engine

  Google vient de présenter en bêta un outil gratuit de détection des vulnérabilités dans les applications Web s’appuyant sur son service App Engine.  Lire la suite

• février 03, 2015 03 févr.'15

  Ghost : une vulnérabilité Linux répandue, mais pas si menaçante ?

  Les applications PHP, dont le célèbre WordPress, sont vulnérables à l’exploit Ghost affectant Linux. Mais la faille ne serait pas si menaçante que cela.  Lire la suite

• janvier 26, 2015 26 janv.'15

  Google dévoile des vulnérabilités d’OS X bientôt corrigées

  Comme il l’avait fait pour Microsoft, le géant du Web applique strictement sa politique de révélation des vulnérabilités 90 jours après leur notification.  Lire la suite

• janvier 07, 2015 07 janv.'15

  Google dévoile une vulnérabilité de Windows 8.1 et crée la polémique

  En appliquant à la lettre sa politique de divulgation de vulnérabilités, Google a publié un exploit pendant la période des fêtes de fin d'année. Et assume en renvoyant Microsoft a ses responsabilités.  Lire la suite

• octobre 15, 2014 15 oct.'14

  Poodle, l’autre vulnérabilité qui menace SSL

  Google vient de publier les détails d’une vulnérabilité affectant SSL 3.0 et permettant à un attaquant d’accéder en clair aux communications censées être chiffrées.  Lire la suite

• octobre 15, 2014 15 oct.'14

  Une vulnérabilité inédite de Windows utilisée pour du cyberespionnage

  Microsoft vient de livrer un correctif pour une vulnérabilité inédite utilisée par des pirates russes pour espionner l’Otan, l’Union européenne, mais également un opérateur télécoms français.  Lire la suite

• septembre 25, 2014 25 sept.'14

  Shellshock, une vulnérabilité Bash potentiellement plus grave que Heartbleed

  Un chercheur vient de découvrir une vulnérabilité présente dans Bash depuis très longtemps et permettant l’exécution de code à distance. Linux, Unix et Mac OS X sont concernés.  Lire la suite

• septembre 24, 2014 24 sept.'14

  iPhone 6 : TouchID reste vulnérable

  Bis repetita. Comme celui de l’iPhone 5S, le capteur d’empreintes digitales de l’iPhone 6 commercialisé depuis par Apple s’avère vulnérable à l’utilisation de fausses empreintes.  Lire la suite

• août 27, 2014 27 août'14

  Des applications Android vulnérables aux interceptions

  Selon FireEye, 68 % des 1000 applications Android les plus populaires présentent des vulnérabilités SSL. Et de prévenir que certaines applications d’entreprises pourraient l’être aussi.  Lire la suite

• juillet 23, 2014 23 juil.'14

  Heartbleed : encore des systèmes industriels vulnérables

  Plusieurs mois après la découverte de Heartbleed, certains systèmes de contrôle industriel signés Siemens restent vulnérables.  Lire la suite

• mai 21, 2014 21 mai'14

  La vulnérabilité Heartbleed n’est pas entièrement réglée

  Plus d’un moins après sa découverte, la vulnérabilité Heartbleed affectant la librairie de chiffrement OpenSSL, traîne encore sur des centaines de milliers de serveurs - et d’autres endroits peu évidents - en raison d’une réaction de l’industrie ...  Lire la suite

• mai 12, 2014 12 mai'14

  Vulnérabilités : polémique autour de l’utilisation d’OSVDB

  Les informations contenues dans la base de données ouverte sur les vulnérabilités, OSVDB, peuvent-elles être utilisées librement ? La polémique est lancée.  Lire la suite

• avril 17, 2014 17 avr.'14

  La vulnérabilité Heartbleed menace les utilisateurs d’Android

  Des millions de terminaux Android pourraient utiliser une version de la librairie OpenSSL vulnérable au bug Heartbleed. Mais, pour les experts, l’importance du risque reste à déterminer.  Lire la suite

• avril 08, 2014 08 avr.'14

  Une vulnérabilité critique dans OpenSSL

  Deux chercheurs viennent de découvrir une faille dans l’implémentation d’une extension du protocole TLS dans OpenSSL. Une menace pour les nombreux serveurs utilisant cette librairie.  Lire la suite

• avril 03, 2014 03 avr.'14

  Des vulnérabilités au sein d’Oracle Java Cloud

  Les polonais de Security Explorations ont découvert de nombreuses vulnérabilités dans le service Cloud Java d’Oracle. Et fourni l’ensemble à l’éditeur fin janvier.  Lire la suite

• mars 26, 2014 26 mars'14

  Importante vulnérabilité dans Word

  Microsoft vient d’émettre une alerte sur une importante vulnérabilité dans son traitement de textes, permettant l’exécution de code malveillant à l’ouverture d’un fichier RTF.  Lire la suite

• mars 24, 2014 24 mars'14

  WPA2 : un protocole vulnérable

  Le protocole de sécurité le plus sûr à ce jour pour les réseaux Wi-Fi n’est pas exempt de vulnérabilités. Des chercheurs montrent comment il peut être cassé et suggèrent des correctifs.  Lire la suite

• janvier 31, 2014 31 janv.'14

  Knox dédouané, Android vulnérable

  Mis en cause par des chercheurs en sécurité israéliens, Knox n'apparaît finalement pas concerné par une vulnérabilité qui affecte en réalité Android.  Lire la suite

• janvier 09, 2014 09 janv.'14

  Une vulnérabilité dans le Samsung Knox

  Les chercheurs de l’université Ben Gourion ont découvert une vulnérabilité au sein de l’architecture sécurisée Knox de Samsung, alors même que le ministère américain de la Défense l’évalue.  Lire la suite

• décembre 10, 2013 10 déc.'13

  Vulnérabilités logicielles : un marché florissant

  Selon NSS Labs, gouvernements, criminels et revendeurs auraient accès à au moins 58 nouvelles vulnérabilités logicielles exclusives chaque jour. Des vulnérabilités qui resteraient inconnues du public en moyenne 151 jours.  Lire la suite