La Quadrature du Net : Publication d’un mémoire citoyen au Conseil Constitutionnel contre la loi Renseignement !

Publié le 24/06/2015

La Quadrature du Net, French Data Network et la Fédération FDN publient un mémoire pour accompagner la saisine parlementaire au Conseil Constitutionnel contre la loi Renseignement. Les trois associations, opposées à la loi Renseignement depuis sa présentation en Conseil des Ministres le 19 mars, continuent leur mobilisation contre cette loi inique, et ce en dépit de son adoption à l'Assemblée nationale et au Sénat. Les citoyens sont invités à accompagner cette démarche en partageant et commentant ce mémoire d'ici jeudi matin 7 heures, pour y apporter leurs réflexions ou suggestions d'amélioration avant l'envoi au Conseil Constitutionnel.

[...]
L’équipe de juristes bénévoles et analystes de La Quadrature du Net, de French Data Network et de la Fédération FDN ont travaillé durant les dernières semaines pour produire cette analyse juridique et technique de la loi. Toutes les mesures ne sont pas passées au crible, le mémoire s’attachant principalement aux dispositions relatives à la surveillance des communications sur Internet. Mais au final, ce travail collectif aboutit à un document de plus d’une centaine de pages.
Ce mémoire sera adressé jeudi matin au Conseil Constitutionnel par la procédure dite de « porte étroite ». Avant cet envoi, il nous a semblé nécessaire de soumettre ce travail aux citoyens afin de leur permettre d’y apporter des propositions d’améliorations des argumentaires juridiques, des indications d’oublis ou d’incohérences, des propositions de meilleure rédaction, et même des corrections orthographiques. Malheureusement, les délais sont extrêmement serrés si nous voulons avoir une chance de voir nos arguments pris en compte par le Conseil constitutionnel.
[...]

Penetration Testing With Raspberry Pi

Publié le 24/06/2015

Publication d'un ouvrage expliquant comment transformer un Raspberry Pi en système de Pentesting..

Joseph Muniz, consultant Cisco Système et chercheur en sécurité, et Aamir Lakhani, architecte en cyber sécurité et chercheur, publie un ouvrage indiquant comment utiliser un raspberry Pi - ce nano-ordinateur mono carte à processeur ARM - pour réaliser des tests d'intrusion (Pentesting). Loin d’être uniquement une énième déclinaison d'une implémentation basé sur Kali/Metasploit, ce livre tire au contraire profil des spécificité du raspberry pour faciliter la démarche de Pentest!
A lire donc !
Information sur le livre
Authors: Joseph Muniz, Aamir Lakhani
Pages: 142 pages
Publisher: Packt Publishing
ISBN: 1784396435
(Attention, en anglais! -_^)

SSL/TLS, 3 ans plus tard (ANSSI)

Publié le 23/06/2015

l'ANSSI publie la mise à jour de l'état des lieux SSL/TLS.

SSL/TLS est aujourd’hui une brique essentielle à la sécurisation des connexions sur internet. L’ANSSI avait proposé un premier état des lieux en 2012 au SSTIC.
Depuis, l’actualité autour de SSL/TLS s’est accélérée avec la publication de nombreuses vulnérabilités à différents niveaux (algorithmes cryptographiques, faiblesses structurelles ou erreurs d’implémentation). Côté solutions, TLS 1.3, la nouvelle version du standard est en cours de spécification.
L’article publié au SSTIC 2015 se veut une mise à jour de l’état des lieux de 2012

PME face aux risques : Etude AFNOR-GENERALI

Publié le 23/06/2015

Generali, le groupe AFNOR et l’institut CSA publient les résultats de la première étude : « Les PME sont-elles bien armées pour résister aux chocs ? », menée auprès de 300 dirigeants de PME, tous secteurs d’activité confondus. Elle délivre un état des lieux de leur perception, de la réalité des risques et de la capacité d’adaptation des PME.

Il en ressort quatre grands groupes :

Les causes opérationnelles : 66%
Les causes macro-économiques : 63%
Les causes relatives aux finances de l’entreprise : 59%
Les causes relatives aux débouchés : 57%

Les causes macro-économiques : 61%
Les causes relatives aux ressources humaines de l’entreprise : 60%
Les causes relatives aux finances de l’entreprise : 56%
Les causes relatives aux débouchés : 56%
Les entreprises sous-estiment les causes de difficultés relatives aux ressources humaines de l’entreprise.
En revanche, les causes opérationnelles et les causes de non-conformité juridique sont surestimées par les entreprises.

Votre expert-comptable ou centre de gestion agréé : 78%
Un organisme de formation : 55%
Des sociétés de conseil : 49%
Votre banquier : 47%

Sécurité des postes de travail : le cas Bouygues Construction.

Publié le 23/06/2015

Bouygues Construction renforce la gestion de la sécurité de son parc de 25 000 postes de travail avec la solution de gestion des droits et privilèges Application Manager d'AppSense.

L'objectif est de permettre aux utilisateurs d'installer et d'exécuter des applications, des drivers ou des périphériques sans, pour autant, leur donner les pleins droits d'administrateurs . Cela représente en effet un risque important, notament pour une telle structure.
Outre ce premier point, le cahier des charges comportait d'autres attentes comme un gain d'autonomie et une amélioration du service tout en maintenant un cadre sécurisé et tracé, même en déplacement ou en mode déconnecté.

"AppSense Application Manager utilise les drivers sécurisés au niveau kernel , les politiques de sécurité NTFS pour inspecter toutes les demandes d’exécution et bloquer les applications indésirables. La possibilité d’exécution de l’application est liée à son appartenance, avec une appartenance par défaut à l’administrateur. Les listes « black and white » peuvent être mises à profit pour définir des applications autorisées ou interdites.
A travers cette technique, toutes les règles d’accès aux applications sont immédiatement mises en en place « out of the box » sans aucun besoin de scripting. Les connections extérieures via UNC ou URLs sont managées également sur ce mode de fonctionnement fournissant une solution de gestion pour les applications et ressources." (source : site Appsense)