Archives de Catégorie: Securite

Le Store Microsoft contenait quelques applications de minage de crypto-monnaies…

store windows 10Alors que le Store Microsoft semblait un des plus réputé en matière de sécurité, l’éditeur validant scrupuleusement toutes les applications (il faut dire aussi qu’il y a moins de travail à faire que sur le store Google ou Apple :)). Un nouveau rapport de la société Symantec affirme que la boutique Microsoft hébergeait plusieurs applications – potentiellement téléchargées par des milliers de personnes – exploitant des crypto-monnaies réalisant en sous tache du minage…

Dans un article de blog, Symantec a expliqué en détail comment elle avait trouvé au moins huit applications gratuites (maintenant supprimées par Microsoft) dans la boutique qui utilisait les ressources du processeur pour exploiter les crypto-monnaies sans l’autorisation de l’utilisateur. Ces applications fonctionnaient en arrière-plan et touchaient également les utilisateurs de Windows 10 S.

Bien que ces applications aient été créées sous trois noms de développeurs différents, l’inspection de leurs codes respectifs indique qu’elles pouvaient être créées par la même personne ou le même groupe de personnes.

Toutes les applications malveillantes en question étaient des applications Web encapsulées (PWA), qui ont commencé à envahir la boutique Microsoft en avril 2018. On se souvient de l’ouverture à ce type d’application par le géant de Redmond pour gonfler son magasin de nouveautés. Le rapport indique que ces applications minières ont été lancées dans la boutique entre avril et décembre 2018 et qu’elles ont collectivement totalisé plus de 1 900 avis. Cependant, le nombre de critiques et de téléchargements légitimes n’est pas précisé pour le moment, car ces chiffres peuvent être gonflés artificiellement pour améliorer la visibilité.

Le modèle des PWA est directement en cause dans ces problèmes. Une bibliothèque Javascript de Google (GTM) permet aux développeurs d’injecter du JavaScript de manière dynamique dans leurs applications. Cette technique peut alors être utilisé pour dissimuler des comportements malveillants ou risqués…

Microsoft met à jour son service Compliance Manager pour les services Cloud

Microsoft vient de mettre en place un nouvel espace de travail permettant aux entreprises sous Office 365 d’évaluer facilement les risques de conformité potentiels pour leurs organisations. L’outil Compliance Manager est ainsi utilisé pour suivre les activités de réglementation, en fournissant un score détaillé reflétant l’état de conformité  de l’entreprise tout en soulignant les points à améliorer. Une liste de contrôle, indiquant les étapes nécessaires à la protection des données ainsi q’une liste des applications non conformes est également affichées.

capture d_écran 2019-01-30 à 16.12.54Le Compliance Manager intègre les fonctionnalités suivantes :

  • Un résumé présentant les responsabilités partagées à la fois sur la protection des données et en matière de conformité aux normes et réglementations respectée par les plateformes Microsoft et de l’organisation, telles que ISO 27001: 2013, NIST 800-53, la loi HIPAA (Health Insurance Portability and Accountability Act), et bien sùr le Règlement Général de l’Union européenne sur la Protection des Données (RGPD).
  • Des outils de gestion et de suivi pour l’évaluation des risques permettant d’attribuer et de vérifier les tâches afin d’aider les équipes  de gestion des risques et de conformité  internes.

Si l’on prend ensuite la rubrique GDPR (RGPD) par exemple et que l’on regarde les actions à faire côté entreprise, il convient alors pour chacune des actions données par l’outil de désigner des personnes pour le suivi et planifier ses actions comme l’indique la copie ci-dessous :

capture d_écran 2019-01-30 à 16.14.41

 

La fuite de 773 millions d’adresses email !

Capture d’écran 2019-01-18 à 17.25.52.pngSelon Troy Hunt, spécialiste américain de la cyber sécurité, il s’agit d’une des plus importantes opérations de vols d’adresses mail. Stockées sur plusieurs fichiers provenant d’un compte du tristement célèbre service cloud MEGA, qui faisaient l’objet de discussions sur des forums de hackers, ces adresses mail auraient été aspirés à partir de plus de 2800 sites, mal protégés.

T.Hunt a agrégé les données de ces fichiers et recense ainsi plus de 770 millions d’adresses email et plus de 21 millions de mot de passe 😦

Si vous souhaitez savoir si l’une de vos adresses fait partie de ce gigantesque hack vous pouvez consulter le site Lire la suite

Apple utilisera DuckDuckGo comme moteur de recherche pour Apple Maps à la place de Google

duckduckgo-appleApple et DuckDuckGo ont annoncé un partenariat destiné à fournir aux utilisateurs des fonctionnalités de recherche de localisation (en préservant donc la confidentialité des utilisateurs).

Dans le cadre de ce rapprochement, DuckDuckGo extraira les informations de localisation depuis Apple Maps et les affichera dans ses résultats de recherche. Le framework MapKit JS d’Apple sera utilisé pour alimenter ces recherches de localisation sur le moteur de recherche connu pour être plus respectueux de la vie privée. La nouvelle fonctionnalité est disponible à la fois sur les versions mobile et desktop.

Cette démarche est plus cohérente de la part d’Apple, qui fait de la confidentialité son cheval de bataille par rapport bien sur à Google. Récemment le patron d’Apple demandait au Sénat de forcer les acteurs à clarifier leur position vis à vis du traitement des données personnelles à la manière de ce qui a été fait en Europe avec la RGPD.

Réciproquement, DuckDuckGo utilisera les données cartographiques d’Apple pour les résultats de recherche affichés dans un onglet Cartes séparé.

Les représentants de DuckDuckGo a souligné une fois de plus que le moteur ne conserverait pas vos informations personnelles ni votre historique de recherche :

« Nous n’envoyons aucune information d’identification personnelle telle que l’adresse IP à Apple ou à des tiers. Pour les recherches locales, où les informations de localisation approximatives nous sont envoyées par votre navigateur, nous les rejetons immédiatement après leur utilisation. »

 

#CES 2019 – BTU Protocol : encore une application concrète de la Blockchain

Vous connaissez peut-être « BTU Protocol » ? Cette startup française a été créée en février 2018 et a clôturé avec succès une vente de tokens en juin 2018 en levant 5,5M$. BTU Protocol a fait partie de la consultation UNICORN de l’AMF (Autorité des Marchés Financiers).

Aujourd’hui, à l’occasion du CES 2019, BTU Protocol lance une application concrète de la Blockchain « BTU Hotel », un service de réservation d’hôtels ​avec une politique « 0% de commission »​ . Avec une récompense pour le consommateur : des crypto-actifs BTU après chaque réservation validée.

btu hotel

A partir de demain (8 janvier 2019), plus de ​2 millions d’hôtels à travers le monde seront disponibles à des prix négociés​. BTU Hotel est disponible à travers le site dédié https://www.btu-hotel.comLa politique à 0% de commission est rendue possible grâce au protocole de réservation blockchain de BTU Protocol, permettant aux fournisseurs de service de ​se mettre en relation directement​ avec le consommateur et ainsi réduire le nombre d’intermédiaires. Dans le service “BTU Hotel”, ​la commission habituellement distribuée à la plateforme de réservation est redistribuée aux consommateurs finaux. Les Booking.com et Expedia apprécieront…

Vidal Chriqui, co-fondateur et inventeur du protocole BTU, déclare​: «Un peu plus de 9 mois après la constitution de notre société, nous sommes déjà en mesure d’apporter les bénéfices de la blockchain au secteur de la réservation hôtelière. Nous prévoyons de déployer le protocole BTU dans de nombreux autres secteurs.« 

#CES2019 – Apple absent du CES, certes …

Comme pour les années précédentes, Apple n’aura pas de stand au CES, c’est son écosystème qui se chargera de passer ses messages.

Ceci étant pour cette édition 2019 la société de Cupertino se paye un affichage de belle taille sur la façade d’un hôtel situé juste à côté du Las Vegas Convention Center pour rappeler son positionnement concernant les données de ses utilisateurs, et en message subliminal que ses concurrents, entre autres Google, Samsung et autres Huawei, eux, n’ont pas le même respect quant à ces données.

De nouveaux bundles Microsoft 365

A partir du 1er février 2019, Microsoft va ajouter 2 nouveaux bundles à son offre Microsoft 365 :

  • Microsoft 365 Identity & Threat Protection :  qui associera Microsoft Threat Protection (Azure ATP, WIndows Defender ATP et Office 365 ATP) plus Microsoft Cloud App Security et Azure Active Directory
  • Microsoft 365 Information Protection & Compliance : qui associera Office 365 Advanced Compliance et Azure Information Protection services. Ce nouveau bundle sera plutôt destiné aux responsables conformité en entreprise.

Ces nouveaux packages viennent compléter l’ensemble existant (E3, E5) sans en modifier le contenu, en particulier les différents services associés à ces nouveaux bundles restent présents dans le plan E5. Ils permettront aux souscripteurs de plan Microsoft 365 E3 d’accéder selon leurs choix à un package orienté sécurité ou conformité, sans

Les prix des nouveaux bundles seront respectivement de 12 et 10 dollars par utilisateur et par mois.

« Entrées précédentes