Failles dans les microprocesseurs Meltdown & Spectre

Attaques Meltdown & Spectre - hackndo

Failles dans les microprocesseurs Meltdown & Spectre
Ces derniers jours, il y a eu beaucoup de bruit dans la sphère de la sécurité informatique. Les mots Meltdown et Spectre ont fait la une de plusieurs journaux et sites d’information, qu’ils soient spécialisés ou généralistes. Cet article est une mise à plat de ma compréhension du sujet, une explication qui j’espère permettra à d’autres de mieux comprendre les mécanismes et la portée de ces attaques.

Les mécanismes en jeu

Ces deux attaques sont différentes de celles dont nous entendons parler majoritairement. Elles touchent le matériel, ou hardware, et non pas des applications. Pour comprendre ces attaques, il est nécessaire de faire un petit récapitulatif sur le fonctionnement et l’optimisation d’un processeur.

Fonctionnement d’un processeur

Un processeur, ce n’est rien d’autre qu’une calculatrice. Au début, des calculs étaient envoyés à un processeur, celui-ci effectuait les calculs qu’on lui envoyait dans l’ordre, les uns après les autres, puis il retournait les résultats.

Lorsqu’un programme est exécuté, les données à traiter sont dans la mémoire vive (qu’on appelle aussi simplement mémoire), ou RAM. Pour traiter une instruction, les données nécessaires au traitement doivent être envoyées depuis la mémoire vive vers la mémoire interne du processeur pour qu’il les traite. Ensuite, le résultat est enregistré à nouveau en mémoire.

Si le temps de traitement des données par le processeur est environ le même que le temps de récupération des données en mémoire, tout ça se coordonne très bien. En effet, pendant que le processeur traite une instruction, les données de la prochaîne instruction sont rapatriées, permettant d’avoir un flux tendu.

Avec le temps, le matériel a évolué, et les processeurs sont devenus très, très rapides. Tellement rapides qu’ils ont largement devancé les accès en mémoire. Ainsi, aujourd’hui, le traitement d’une instruction se fait environ en 0.5 nano-seconde, tandis qu’un accès mémoire se fait en 20 nano-secondes.

Par conséquent, si jamais le processeur traitait les instructions linéairement, il passerait la plupart de son temps à attendre les données, au lieu de travailler.

C’est pourquoi les constructeurs se sont penchés sur le sujet afin d’optimiser le processus de traitement de leurs processeurs…[lire la suite]

 

LE NET EXPERT

 

Besoin d’un Expert ? contactez-nous

Notre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).



 

Réagissez à cet article

Source : Attaques Meltdown & Spectre – hackndo



En matière de sécurité informatique, la faille, c’est l’humain

En matière de sécurité informatique, la faille, c’est l’humain
En matière de sécurité informatique, la mise à jour régulière d’un antivirus performant est indispensable. Mais, à en croire l’expert Benoît Grunemwald, rien ne saurait remplacer l’éducation du « maillon faible » : l’humain.

Baptisée Eset, en hommage à la déesse de la guérison de la mythologie égyptienne, la petite entreprise née en 1992 à Bratislava (Tchécoslovaquie) est aujourd’hui le quatrième acteur mondial du secteur de la sécurité informatique. Ses antivirus arrivent régulièrement en tête des tests de fiabilité et de sécurité. Toujours détenue par ses trois cofondateurs, elle a réalisé 460 millions de chiffre d’affaires en 2016… et bloque 300.000 attaques par heure ! Benoît Grunemwald, directeur des opérations Eset France, livre ses conseils pour sécuriser au maximum les données d’une entreprise.

Management : Concrètement, à quoi s’expose une entreprise qui néglige sa sécurité informatique ?

Benoît Grunemwald : A une perte de productivité liée à l’arrêt de son système, à une fuite de données, et à une atteinte à son « e-réputation » avec une dégradation de son site Web ou son détournement dans le but de répandre des malwares…[lire la suite]

 

 

LE NET EXPERT

 

Besoin d’un Expert ? contactez-nous

Notre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).



 

Réagissez à cet article

Source : En matière de sécurité informatique, c’est l’humain qui est la faille – Capital.fr



Un malware contamine des smartphones via Facebook Messenger

Un malware contamine des smartphones via Facebook Messenger
Un logiciel malveillant a fait son apparition sur l’application de messagerie de Facebook, celui-ci créerait secrètement une monnaie-virtuelle.

Des chercheurs de la firme de cybersécurité de Trend Micro ont découvert un malware capable de miner de la crypto-monnaie, Monero. Ce virus a d’abord été observé en Corée du Sud, il agirait secrètement depuis Facebook Messenger. Nommé Digmine, ce logiciel ciblerait un maximum d’utilisateurs afin de récolter le plus de Monero possible.

Dans les faits, le malware se présenterait sous la forme d’une vidéo envoyée sur une conversation Messenger et ne serait dangereuse que si l’utilisateur l’ouvre à partir de Google Chrome. Pas de problème si on l’ouvre depuis une autre plateforme – autre navigateur ou depuis un smartphone -, même s’il existe toujours un potentiel risque que les pirates prennent le contrôle du compte Facebook de leur victime.

Crédit : Trend Micro

Crédit : Trend Micro

La présence de Digmine sur une machine pourrait également ralentir celle-ci ou tenter de se propager en contaminant les contacts de l’utilisateur. En effet, les chercheurs de Trend Micro ont affirmé que “Si le compte Facebook de l’utilisateur est configuré pour se connecter automatiquement, Digmine manipulera Facebook Messenger afin d’envoyer un lien vers le fichier aux amis du compte”…[lire la suite]

 

LE NET EXPERT

 

Besoin d’un Expert ? contactez-nous

Notre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

 

Réagissez à cet article

Source : Un malware contamine des smartphones via Facebook Messenger | geeko



25% des cyberattaques cibleront les objets connectés en 2020

Cyberisques News - Cybersécurité : 25 Prévisions utiles pour 2018

25% des cyberattaques cibleront les objets connectés en 2020
L’IoT présente des problématiques de sécurité particulièrement épineuses. La majorité des objets connectés ont fait l’impasse sur la sécurité, avec des options de configuration minimales, voire inexistantes sur le sujet, et une absence de protocoles d’authentification ou d’autorisation. La majorité des objets connectés ne dispose pas d’interface qui permet aux outils de sécurité de s’y installer, ce qui rend quasi-impossible le patching et les mises à jour. Dans ce contexte, il n’est guère étonnant que les experts s’attendent à ce que 25% des cyberattaques ciblent l’Internet des Objets en 2020.

 

 

L’expansion des réseaux IoT (objets connectés) instaure de nouvelles menaces pour la sécurité avec environ 22,5 milliards d’appareils connectés prévus d’ici 2021, selon un rapport de Business Insider. La sécurité représentera donc un défi de taille, mais les gros volumes de données engendrés par l’IoT pourraient en réalité aider les chercheurs à repérer les failles de sécurité. Encore faudrait il que les entreprises déclenchent enfin une cartographie rigoureuse de leur patrimoine informationnel. Selon une nouvelle étude de CyberArk, près de deux tiers des organisations françaises (62 %) ayant été victime d’une cyberattaque n’ont pas avoué à leurs clients que leurs données personnelles avaient été compromises.  Avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en mai 2018, les entreprises qui n’agiront pas pour être plus transparentes s’exposeront à d’importantes sanctions.La mise en place du RGPD / GDPR en mai 2018 les incite « fortement »…[lire la suite]

 

LE NET EXPERT

 

Besoin d’un Expert ? contactez-nousNotre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

 

Réagissez à cet article

Source : Cyberisques News – Cybersécurité : 25 Prévisions utiles pour 2018



Les entreprises appelées à se prémunir contre la cybercriminalité

Les entreprises appelées à se prémunir contre la cybercriminalité
Avec la démocratisation d’Internet, la cybercriminalité a évolué et prend désormais plusieurs formes. Les solutions de protection ne suffisent pas, une vraie stratégie de cybersécurité est nécessaire.

Les TPE-PME constituent aujourd’hui la cible de prédilection des cybercriminels. A la différence des grandes structures, ces entreprises ne disposent pas le plus souvent d’un DSI. Encore moins de process de formation et d’information leur permettant de prévenir efficacement les invasions virales et autres intrusions par voie numérique. Le phénomène est à portée internationale. En france, le baromètre du Club des experts de la sécurité de l’information et du numérique (CESIN) indique que 80% des entreprises interrogées ont été confrontées au problème au cours de 2016. Pourtant, seule une PME sur quatre a engagé une démarche de gestion des risques liés à la cybercriminalité d’après une étude de la même année menée par un assureur.
En savoir plus sur http://lavieeco.com/news/la-vie-des-pme/les-entreprises-appelees-a-se-premunir-contre-la-cybercriminalite.html#CpIb5cqqvY5YWUrE.99…[lire la suite]

 

LE NET EXPERT

 

Besoin d’un Expert ? contactez-nousNotre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

 

Réagissez à cet article

Source : Les entreprises appelées à se prémunir contre la cybercriminalité – Lavieeco



Les cyberviolences à l’école peuvent mener à la dépression, voire au suicide

« La cyberviolence à l'école peut mener à la dépression, voire au suicide » #4 - Le Point

Les cyberviolences à l’école peuvent mener à la dépression, voire au suicide
Les cyberviolences concernent au premier chef les jeunes. Ils en sont les principales victimes, du fait de leur utilisation massive des réseaux sociaux. D’après les études menées par la chercheuse et pédagogue Catherine Blaya, 41 % d’entre eux ont déjà été victimes de cyberviolences, et 7 % de cyberharcèlement. Des insultes aux menaces, ce phénomène peut être fatal, comme l’a montré en 2013 l’exemple de Marion, une collégienne de 13 ans harcelée, qui s’est suicidée.

Ces phénomènes, Catherine Blaya les étudie depuis 2010. En 2012, elle a publié l’enquête « Eu kids online » sur les « risques et [la] sécurité des enfants sur Internet » pour la France. La chercheuse en sciences sociales à la Haute École de pédagogie (HEP) du canton de Vaud (Suisse), et présidente de l’Observatoire international de la violence à l’école (OIVE), a aussi publié plusieurs livres autour du sujet, dont Les Ados dans le cyberespace, en 2013 (éditions De Boeck). Elle explique au Point l’impact des nouvelles technologies sur les relations entre adolescents, et les dangers qu’elles suscitent, notamment pour leur santé. Elle insiste aussi sur la responsabilité des professeurs dans la prévention de la cyberviolence…[lire la suite]

 

LE NET EXPERT

 

Besoin d’un Expert ? contactez-nous

Notre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

 

Réagissez à cet article

Source : « La cyberviolence à l’école peut mener à la dépression, voire au suicide » #4 – Le Point



Cadeaux de noël : Comprendre les risques liés aux objets connectés, c’est déjà commencer à se protéger

Cadeaux de noël : Comprendre les risques liés aux objets connectés, c’est déjà commencer à se protéger
Les années passent et les scandales de sécurité et de vie privée se succèdent à un rythme qui ne semble pas réduire. L’un des secteurs des technologies de l’information semble concentrer la plupart des problèmes : les objets connectés

Récemment, la CNIL a pointé du doigt des jouets connectés a priori inoffensifs. Le problème ? Ces poupées, équipées de caméra, d’un micro et d’un haut-parleur constituent un cheval de Troie idéal pour n’importe quelle personne malveillante. Ok, mais ont-elles été l’objet d’un piratage ? Pas encore mais un produit similaire s’est récemment fait pirater causant la publication d’un peu plus de 2 millions de messages intimes sur Internet.

Avant de céder à la panique et de déménager dans un joli mais vieux corps de ferme dans le Vercors, quelques ajustements semblent nécessaires…[lire la suite]

 

LE NET EXPERT

 

Besoin d’un Expert ? contactez-nous

Notre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).



 

Réagissez à cet article

Source : Comprendre les risques liés aux objets connectés, c’est déjà commencer à se protéger – Tech – Numerama



25% des collégiens ont déjà été victimes de cyber-violences

25% des collégiens ont déjà été victimes de cyber-violences
Selon la Depp, 94 % des collégiens « se sentent bien » dans leur établissement. Mais pour autant, le sentiment d’insécurité demeure, ainsi que les cyberviolences.

 

Les cyber-violences concerne tous les collégiens. Selon les chiffres de la Depp sur les violences par Internet et par téléphone, 25 % des collégiens déclarent avoir connu « au moins une atteinte » via les nouvelles technologies.

En 2017, 11 % des adolescents ont déclaré avoir été l’objet d’insultes ou d’humiliations, et 18 % ont été l’objet, sur les réseaux sociaux ou via des smartphones, de rumeurs colportées, de vidéos humiliantes ou d’usurpations d’identité.Dans le détail, 9 % des collégiens ont déjà été l’objet de rumeurs par Internet, 8 % ont reçu des photos ou vidéos humiliantes (10 % de filles contre 8 % de garçons), et 6 % ont vu leur identité numérique usurpée.

Pour 7 % des collégiens, le nombre d’atteintes déclaré (au moins trois différentes) « peut s’apparenter à du cyber-harcèlement« , explique l’étude. Selon la Depp, le cyber-harcèlement est « davantage subi par les filles (8 % contre 6 % pour les garçons) et les élèves de 3e » (8 %, contre 6 % en 6e)…[lire la suite]

 

Dernière enquête nationale de la Depp (direction de l’évaluation, de la prospective et de la performance)

 

 

LE NET EXPERT

 

Besoin d’un Expert ? contactez-nous

Notre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

 

Réagissez à cet article

Source : Climat scolaire : 25% des collégiens ont déjà été victimes de cyber-violences » VousNousIls



Un inquiétant malware cible les objets connectés de la planète

Un inquiétant malware cible les objets connectés de la planète
Un nouveau malware Botnet « Reaper » a été identifié par les spécialistes en cybersécurité. Ce logiciel malveillant cible particulièrement les appareils connectés et cherche à nuire à l’ensemble des réseaux de dispositifs IdO en usant de la technique du déni de se

Toute la planète est concernée par cette menace

Les experts de la cybersécurité estiment que ce malware a déjà attaqué environ 1 million d’appareils jusqu’à présent et poursuit sa propagation sans aucun problème. Du fait que ce logiciel malveillant n’a été repéré que récemment, il est encore difficile pour le moment de trouver la solution la plus efficace pour le détourner rapidement. De plus, les spécialistes qui l’ont découvert soulignent que l’objectif exact des hackers reste toujours inconnu. Ils se penchent encore sur les vraies intentions de ces malfaiteurs.

 

 

La solution pour se protéger de Reaper

La solution la plus pratique et la plus rapide proposée par les experts pour le moment est de changer les mots de passe de chaque dispositif reliés à Internet. Les appareils comme les caméras connectées ou les routeurs sans fil sont également exposés au risque d’infiltration. Ce procédé prend sans doute plus de temps. Néanmoins, les manuels fournis par la marque donnent généralement des instructions précises à ce sujet…[lire la suite]

 

LE NET EXPERT

 

Besoin d’un Expert ? contactez-nous

Notre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

 

Réagissez à cet article

Source : « Reaper » : nouveau malware ciblant les objets connectés – @Sekurigi



HTTPS ou le cadenas du navigateur ne veulent pas dire que le site est fiable !

HTTPS ou le cadenas  du navigateur ne veulent pas dire que le site est fiable !
Depuis plusieurs années j’entends des « professionnels » de l’informatique recommander à leur client de bien vérifier la présence d’un cadenas ou d’une adresse qui commence par « https » lorsqu’ils échangent des données sensibles (mots de passe, numéros de CB…). Sans autre conseil, selon Denis JACOPINI, cette recommandation ne vaut rien.

 

 

Le Net Expert : Qu’indiquent le Cadenas ou le S de httpS ?

Denis JACOPINI : Le protocole HTTPS (HyperText Transfer Protocol Secure) est la combinaison du HTTP avec un protocole de chiffrement tel que le TLS ou le SSL. Il est particulièrement utilisé sur le Web par les réseaux sociaux et dans les secteurs bancaires et de l’e-commerce pour sécuriser les pages sensibles (page d’authentification, mon compte, page de paiement).

 

 

 

Le Net Expert : Qu’apporte alors la sécurité du HTTPS ou du cadenas ?

D. J. : Lorsqu’on navigue sur un site dont l’URL (l’adresse internet) commence par  « HTTPS »  (par exemple https://www.lenetexpert.fr), ceci ne veut pas dire que le site internet est de confiance ou fiable. Cela signifie simplement que la communication entre votre ordinateur et le site Internet sera chiffrée (cryptée) afin qu’un espion ou un pirate connecté sur votre Wifi ou votre LAN avec des outils d’espionnage numérique (un sniffer ou un Main In The Middle) ne puisse « écouter » ou « capter » le contenu de l’échange. Ceci garanti la confidentialité des échanges entre votre ordinateur et le site Internet et seulement la confidentialité entre votre ordinateur et le site Internet, ni la confiance, ni autre chose.

Il n’y a aucun rapport entre la présence d’un https et la confiance que l’on peut accorder à un site Internet et d’ailleurs, il existe une multitude de moyens de créer une page web accessible via une URL ayant la sécurité https.

  • Hébergement gratuit en https
  • Hébergement payant créer un site internet sur un hébergement  gratuit
  • Ajouter un certificat SSL gratuit
  • Utiliser un dossier sous un domaine avec certificat

Ainsi, la présence d’un https ou d’un cadenas ne devrait pas être suffisant pour être un cyberacheteur confiant. D’autres éléments devraient être utilisés tels que l’existence d’avis sur le site Internet, l’absence de réponse à la recherche du « nom du site Internet » accolé au mot « arnaque » (sauf si c’est un site qui justement traite des arnaques !).

De plus, une recherche sur le nom de domaine à partir de « whois.com » devrait vous donner des indications sur l’ancienneté du nom de domaine, l’adresse du propriétaire du nom de domaine qui devrait coïncider avec le propriétaire de la boutique dans laquelle vous vous apprêtez à faire vos achats.

Enfin, une boutique en français affichant des conditions générales de ventes en français indiquant que le site internet est soumis à la loi française avec un numéro SIRET facilement vérifiable sur  « societe.com »et une rubrique destinée à la protection des données personnelles a de grandes chances de vous assurer une certaine tranquillité.

Tout comme dans le monde des boutiques physiques il existe des cybercommerçants sérieux et fiables mais si vous devez acheter un produit sur Internet et que vous le trouvez sur une boutique moins cher que partout ailleurs, posez-vous des questions. Privilégiez les boutiques de confiance dont le siège social est en France (vous protégeant ainsi par les lois françaises très protectrices des consommateurs). A moins de passer par un tiers de confiance, évitez d’acheter sur les boutiques internet situées dans des pays étrangers en dehors de l’Europe. En cas de litige, risque d’être difficile la contestation.

Certes avoir un cadenas sur votre navigateur et une adresse internet avec un https sont essentiels pour communiquer des informations confidentielles telles que des mots de passe ou des coordonnées de cartes bancaires mais la réputation de la boutique ou sa situation géographique sont des éléments tout aussi importants.

 

 

Les informations contenues dans nos publications sont destinées à vous sensibilisées et augmenter votre niveau de prudence et en aucun cas dans un but de vous inciter à les utiliser dans un but malveillant.

 

 

LE NET EXPERT

 

Besoin d’un Expert ? contactez-nousNotre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

 

Réagissez à cet article

Source : Denis JACOPINI