Actualités

Gestion des vulnérabilités et des correctifs (patchs)

• octobre 24, 2016 24 oct.'16

  Dirty Cow : une grave vulnérabilité Linux redécouverte

  Présente dans le noyau Linux depuis plus d’une décennie, celle-ci permet d’obtenir les privilèges les plus élevés sur presque n’importe quel système fonctionnant sous Linux.  Lire la suite

• octobre 13, 2016 13 oct.'16

  IBM étend son partenariat avec Carbon Black

  Le groupe entend ainsi proposer une solution de sécurité adaptative intégrant réseau et poste de travail, en profitant à la fois de ses outils BigFix et de son SIEM QRadar.  Lire la suite

• octobre 05, 2016 05 oct.'16

  Sécurité des sites web en France : le bilan chiffré

  Les sites Web sont omniprésents dans notre quotidien, qu’ils soient professionnels ou privés. Mais ils sont fréquemment vulnérables. Wavestone a tenté de quantifier le phénomène à partir de 128 audits de sécurité.  Lire la suite

• septembre 29, 2016 29 sept.'16

  Sqreen veut simplifier la sécurité des applications Web

  La jeune pousse française mise sur l’instrumentation des applications pour détecter vulnérabilités et tentatives d’attaque.  Lire la suite

• juillet 20, 2016 20 juil.'16

  D’importantes vulnérables dans de nombreux anti-virus

  De nombreux logiciels de protection du poste de travail et de gestion des performances applicatives ont recours à des mécanismes d’interception des appels aux interfaces système. Mais avec des implémentations peu robustes.  Lire la suite

• juillet 08, 2016 08 juil.'16

  Android : un chiffrement suffisamment vulnérable pour les autorités

  Les vulnérabilités présentes dans les appareils équipés de composants Qualcomm permettent de contourner le chiffrement du stockage supporté par Android.  Lire la suite

• juin 30, 2016 30 juin'16

  Plusieurs vulnérabilités critiques dans les produits Symantec

  Les équipes du projet Zéro de Google ont découvert de graves failles dans les produits Symantec et Norton, exploitables sans interaction de l’utilisateur.  Lire la suite

• juin 17, 2016 17 juin'16

  Une importante vulnérabilité dans des routeurs VPN Cisco

  L’équipementier vient d’alerter sur une vulnérabilité affectant trois de ses routeurs VPN sans fil pour PME et permettant l’exécution de code à distance.  Lire la suite

• mai 18, 2016 18 mai'16

  Google dévoile une grave vulnérabilité dans l’antivirus de Symantec

  Découverte par les équipes du projet Zéro, elle peut être exploitée sans interaction de l’utilisateur et s’avère aussi « grave qu’il est possible de l’être ».  Lire la suite

• mai 17, 2016 17 mai'16

  Alerte à une vulnérabilité dans les plateformes Java de SAP

  Le Cert-US alerte sur une vulnérabilité affectant les plateformes Java de SAP datant de 2010, corrigée mais largement exploitée.  Lire la suite

• mars 17, 2016 17 mars'16

  Une vulnérabilité Java non corrigée ravive la question de la divulgation responsable

  Un chercheur vient de présenter un code exploitant une vulnérabilité Java vieille de 30 mois. Oracle pensait l’avoir corrigée, mais elle était restée béante. Le chercheur n’a pas prévenu l’éditeur.  Lire la suite

• février 29, 2016 29 févr.'16

  Des VPN majoritairement vulnérables

  Une étude montre que la plupart des serveurs VPN publiquement accessibles en IPv4 sont configurés de telle manière qu’ils n’offrent pas de véritables garanties de sécurité.  Lire la suite

• février 05, 2016 05 févr.'16

  Importantes vulnérabilités dans un outil d’administration Netgear

  Le système d’administration réseau ProSafe NMS300 de Netgear présente deux importantes vulnérabilités, dont l’une permettant l’exécution de code à distance avec un haut niveau de privilèges.  Lire la suite

• février 01, 2016 01 févr.'16

  Authentification : Cisco corrige une vulnérabilité dans ses équipements

  L’équipementier distribue un correctif pour une vulnérabilité permettant de contourner l’authentification sur son interface d’administration Web.  Lire la suite

• janvier 20, 2016 20 janv.'16

  Linux : une grave vulnérabilité présente depuis 2012

  Le noyau Linux embarque depuis 4 ans une vulnérabilité jusqu’ici passée inaperçue et permettant à un attaquant de gagner des privilèges élevés sur un système affecté.  Lire la suite

• janvier 15, 2016 15 janv.'16

  OpenSSH : Une mise à jour comble une importante vulnérabilité

  Le nouvelle version 7.1p2 de l’outil d’administration corrige une vulnérabilité vieille de près de 6 ans et susceptible d’exposer les clés privées du poste client.  Lire la suite

• janvier 07, 2016 07 janv.'16

  SlientCircle corrige une importante vulnérabilité dans son Blackphone

  Cette vulnérabilité affectant le modem de la première génération de Blackphone pouvait permettre son détournement.  Lire la suite

• décembre 16, 2015 16 déc.'15

  Une grave vulnérabilité affecte les équipements FireEye

  Les chercheurs en sécurité de Google ont découvert une vulnérabilité permettant aisément de compromettre les équipements de protection de FireEye. Un correctif a été rapidement développé.  Lire la suite

• décembre 14, 2015 14 déc.'15

  Langages interprétés du Web : des nids à vulnérabilités

  Selon Veracode une écrasante majorité des applications Web développées avec des langages interprétés contient d’importantes vulnérabilités.  Lire la suite

• décembre 11, 2015 11 déc.'15

  Une vulnérabilité pour passer au travers des pare-feu de nouvelle génération

  BugSec et Cynet ont découvert un moyen de retourner contre eux une fonctionnalité des pare-feu de nouvelle génération afin d’exfiltrer des données en toute furtivité.  Lire la suite

• novembre 26, 2015 26 nov.'15

  Des objets connectés toujours plus vulnérables

  Un chercheur de Symantec vient de faire la démonstration de la prise en otage d’un téléviseur connecté sous Android par un rançongiciel.  Lire la suite

• novembre 25, 2015 25 nov.'15

  Un nouveau certificat vulnérable sur les PC Dell

  Après eDellRoot, un autre certificat exposant sa clé privée a été découverte sur les machines Dell.  Lire la suite

• novembre 20, 2015 20 nov.'15

  Des vulnérabilités trop nombreuses pour être gérées efficacement

  Une étude de NopSec sur la gestion des vulnérabilités fait apparaître des RSSI noyés sous l’information et les faux positifs, et minés par le manque de ressources.  Lire la suite

• novembre 10, 2015 10 nov.'15

  D’importantes vulnérabilités sur SAP HANA

  Onapsis vient d’identifier 21 vulnérabilités de sécurité susceptibles de menacer les déploiements HANA, dont 9 qualifiées de critiques.  Lire la suite

• novembre 10, 2015 10 nov.'15

  SecludIT s’attaque à la surveillance en continu des vulnérabilités

  Fondée en 2011, cette start-up française propose une solution permettant d’accélérer le rythme des recherches régulières de vulnérabilités dans l’infrastructure sans perturber la production.  Lire la suite

• octobre 30, 2015 30 oct.'15

  Xen corrige une vulnérabilité critique vieille de sept ans

  Les porteurs du projet Xen viennent de corriger un bug permettant à une machine virtuelle hôte de prendre le contrôle complet du système hôte. Il traîne dans le code de l’hyperviseur depuis sept ans.  Lire la suite

• octobre 23, 2015 23 oct.'15

  Cartes bancaires : une vulnérabilité connue exploitée discrètement

  Des chercheurs viennent de publier un rapport d’étude sur l’exploitation concrète mais discrète d’une vulnérabilité affectant les cartes EMV et connue depuis plus de 5 ans.  Lire la suite

• septembre 15, 2015 15 sept.'15

  Une importante vulnérabilité dans l’embarqué VxWorks

  Un chercheur a profité de la conférence londonienne 44Con pour dévoiler d’importantes vulnérabilités dans le système d’exploitation embarqué VxWorks.  Lire la suite

• septembre 14, 2015 14 sept.'15

  Vulnérabilités : FireEye au cœur d’une controverse

  L'équipementier est pointé du doigt pour ses demandes appuyées de suppression d'informations relatives à des vulnérabilités découvertes dans ses produits. Protection de sa propriété intellectuelle, répond-il.  Lire la suite

• septembre 09, 2015 09 sept.'15

  Microsoft corrige cinq vulnérabilités critiques

  Le train de correctifs de l’éditeur pour le mois de septembre concerne cinq vulnérabilités critiques, dont deux permettant d’exécution de code à distance dans Office.  Lire la suite

• septembre 08, 2015 08 sept.'15

  Des vulnérabilités dans les produits Kaspersky et FireEye

  L’éditeur russe a réagi dans les 24h à la divulgation d’une vulnérabilité, remerciant au passage le chercheur controversé Tavis Ormandy pour son travail.  Lire la suite

• septembre 04, 2015 04 sept.'15

  Fortinet corrige des vulnérabilités dans son agent pour poste client

  L’agent FortiClient pour les postes utilisateurs est disponible dans une version mise à jour après la découverte de vulnérabilité permettant de prendre le contrôle à distance des machines compromises.  Lire la suite

• août 21, 2015 21 août'15

  Quicksand : une vulnérabilité iOS dédiée aux entreprises

  Alors qu’Apple s’efforce depuis plusieurs années de répondre aux attentes des entreprises avec son système d’exploitation mobile, ce dernier s’avère affecté par une sévère vulnérabilité corrigées avec sa toute récente version 8.4.1.  Lire la suite

• août 20, 2015 20 août'15

  Analyse comportementale : dépasser la vulnérabilité de l’humain

  Comment savent-elles qui fait quoi ? Les nouvelles technologies comportementales utilisent les sciences des données pour superviser l’activité des utilisateurs sur le réseau.  Lire la suite

• juillet 28, 2015 28 juil.'15

  Une nouvelle vulnérabilité façon Venom pour Qemu

  Celle-ci permet d’échapper au confinement d’une machine virtuelle pour remonter à l’hôte, mais cette fois-ci par l’émulation de lecteur de disque optique.  Lire la suite

• juillet 27, 2015 27 juil.'15

  HP effraie avec des vulnérabilités Windows Phone

  Dans le cadre de son initiative Zero Day, HP vient de dévoiler quatre vulnérabilités critiques permettant l’exécution de code à distance via Internet Explorer. Mais pour la version dédiée aux smartphones Windows, pas aux postes de travail.  Lire la suite

• juillet 24, 2015 24 juil.'15

  Des montres connectées hautement vulnérables

  HP Fortify s’est penché sur la sécurité applicative de dix montres connectées. Suffisant selon le groupe pour dénoncer des résultats « décevants » et une sécurité plus que perfectible. Mais l’étude pêche par son manque de transparence.  Lire la suite

• juillet 21, 2015 21 juil.'15

  Smartphones : Hacking Team montre une vulnérabilité généralisée

  Les données dérobées chez Hacking Team montre, si c’était encore nécessaire, qu’aucune plateforme mobile n’est à l’abri d’attaquants déterminés. Même BlackBerry qui a pourtant longtemps fait de la sécurité son principal argument commercial.  Lire la suite

• juin 29, 2015 29 juin'15

  Nouvelle vulnérabilité dans Qemu

  Après Venom, une vulnérabilité affecte Qemu, cette fois-ci via son émulateur d’interface réseau PCNET. De quoi attaquer l’hôte avec les privilèges accordés au processus Qemu.  Lire la suite

• juin 23, 2015 23 juin'15

  Vulnérabilité dans IE : en désaccord avec Microsoft, HP balance

  En février dernier, une équipe de chercheurs de HP a été récompensée par Microsoft pour une vulnérabilité découverte dans Internet Explorer mais que l’éditeur ne souhaite pas corriger.  Lire la suite

• juin 19, 2015 19 juin'15

  SAP HANA, une cible alléchante et vulnérable

  ERPScan alerte d’un intérêt croissant des pirates pour SAP HANA, lequel présente un nombre important de vulnérabilités connues.  Lire la suite

• juin 18, 2015 18 juin'15

  Graves vulnérabilités au sein d’OS X et d’iOS

  Six chercheurs ont identifié des vulnérabilités permettant à des applications malveillantes d’échapper au sandboxing d’Apple pour accéder aux données sensibles d’autres applications.  Lire la suite

• juin 05, 2015 05 juin'15

  F-Secure s’offre un spécialiste du test de vulnérabilités

  L’éditeur vient d’annoncer le rachat du danois nSense, spécialiste du test d’intrusion et de l’évaluation de vulnérabilités.  Lire la suite

• mai 20, 2015 20 mai'15

  Logjam : une vulnérabilité majeure dans l’échange de clés

  Plusieurs chercheurs viennent de montrer comment l’algorithme d’échange de clés de chiffrement Diffie-Hellman s’avère vulnérable aux attaques de type man-in-the-middle. Les serveurs VPN, SSH et HTTPS sont concernés.  Lire la suite

• mai 19, 2015 19 mai'15

  Venom, une vulnérabilité spécifique aux environnements virtuels

  Une vulnérabilité affecte le code utilisé pour émuler un lecteur de disquettes dans les machines virtuelles. Elle pourrait permettre de remonter jusqu’à l’hôte physique.  Lire la suite

• mai 13, 2015 13 mai'15

  AlienVault corrige des vulnérabilités dans ses SIEM

  AlienVault propose des correctifs pour ses plateformes de gestion des informations et des événements de sécurité, après qu’un chercheur y avait découvert plusieurs vulnérabilités.  Lire la suite

• mai 11, 2015 11 mai'15

  Anssi : deux vulnérabilités potentielles dans OpenPGP

  L’agence a étudié deux « fragilités théoriques » dans trois implémentations du format de communication chiffré. Deux d’entre elles ont été mises à jour en conséquence.  Lire la suite

• avril 29, 2015 29 avr.'15

  Encore des banques vulnérables à Poodle

  Plusieurs mois après la découverte de la méthode d’attaque dite Poodle, les sites Web de certaines banques restent vulnérables.  Lire la suite

• avril 14, 2015 14 avr.'15

  Etude : la plupart des entreprises sont vulnérables aux menaces avancées

  Selon une étude réalisée par RSA, la plupart des entreprises ne sont pas préparées pour faire face aux menaces avancées et pour y réagir.  Lire la suite

• avril 07, 2015 07 avr.'15

  Quatre vulnérabilités dans TrueCrypt 7.1

  Le rapport d’audit final de l’outil de chiffrement TrueCrypt ne fait apparaître que quatre vulnérabilités. De quoi rassurer sur ses successeurs, CipherShed et VeraCrypt.  Lire la suite