Publicité en cours de chargement...
On ne nous dit pas tout !
Mauvaises pratiques, collecte d’informations sans consentement, laissées volontairement, éventuels accords avec des états… Sans vouloir jouer les « complotistes », il ne faut pas non plus être trop Candide.
Dans le domaine de la sécurité des systèmes d’information, nombreux sont les éditeurs qui tentent au maximum de mettre la poussière sous le tapis.
#FERMEZLESVOLETSDEVOSWINDOWS
Microsoft n’est pas le dernier dans ce domaine, tout le monde se souvient de la propagation massive du rançongiciel Wannacry, exploitant la vulnérabilité MS17-010 sur le protocole SMB V1 de Windows corrigée en mars et pour laquelle Microsoft a sorti en urgence de ses tiroirs des mises à jour de sécurité pour plusieurs systèmes qui n’étaient plus supportés depuis plusieurs années, dont Windows XP et 2003 Server.
Avec les publications qui « vont bon train » en ce moment, par le (ou les) mystérieux , d’outils d’espionnage de la NSA exploitant de nombreuses vulnérabilités logiciels. Le géant américain a publié dans son dernier « patch Tuesday » des rustines pour par moins de 96 vulnérabilités dont 3 qui étaient exploitées par la NSA.
Après EternalBlue (MS17-010), je suppose que Microsoft a jugé ses 3 « exploits » (EsteemAudit qui cible RDP, ExplodingCan visant IIS 6.0 et EnglishmanDentist qui s’infiltre dans Exchange) et certaines autres vulnérabilités assez importants pour publier là encore des mises à jour pour XP et 2003…
Vous pouvez retrouver les détails ces différents patchs dans .
Si on regarde de plus près, comme pour les patchs sortis en urgence lors de la vague « Wannacry », certains patchs que l’on vient tout juste de nous servir, sont en fait sortis du four au mois de février dernier.
Le grand chef Microsoft va-t-il continuer longtemps à conserver dans son garde-manger des patchs pour les « exploits » qui ne sont pas encore annoncés publiquement et nous les servir au fur et à mesure que les vulnérabilités vont être annoncées publiquement ?
Ces « patchs » servis sur un plateau, nous n’avons plus qu’à aller les picorer pour colmater les fuites sur nos vieux serveurs. Je pense vraiment que si un éditeur comme Microsoft a pris la peine de publier une nouvelle fois des patchs pour XP et 2003, c’est que ça ne sent vraiment pas très bon…
Nous apprendrons sans doute l’année prochaine que ces vulnérabilités sont déjà exploitées depuis un bon moment par d’autres personnes que les membres de la NSA…
Les nombreux dispositifs médicaux s’appuyant sur Windows XP seront-ils eux aussi patchés ? C’est moins sûr… Le niveau de criticité de ces appareils ne fait qu’accroitre.
#LACNILSANCTIONNEDANSLASANTÉ
Dans le secteur de la santé, on ne nous dit pas toujours tout non plus, et le secret médical, n’est pas toujours un argument recevable. Un cabinet dentaire a reçu de la CNIL, une sanction pécuniaire de 10 000€ pour non-respect du droit d’accès et non coopération avec la CNIL. Le cabinet a tout simplement refusé à un patient, l’accès à son dossier. Après réception d’une plainte en novembre 2015 et une mise en demeure pour laquelle elle n’a reçu aucune réponse, la CNIL a décidée de sanctionner le responsable du traitement. Dans un sur le sujet, la Commission rappelle les obligations des professionnels de santé. Elle en a par ailleurs profité pour publier une .
#LASANTÉ1ERSECTEURATTAQUÉ
Selon un , la santé arriverait en tête des secteurs les plus ciblés par les attaques cyber sur le premier trimestre 2017, avec 164 menaces constatés pour 1000 périphériques, comme le souligne l’éditeur de cette plateforme de détection automatisée des menaces dans son .
#NOUVELLEGLISSADESURLABANQUISE
Après une au début du mois, le pingouin est victime d’une nouvelle glissade. La société Qualys a annoncée le 19 juin, une nouvelle vulnérabilité baptisée ()affectant Linux, OpenBSD, NetBSD, FreeBSD et Solaris. Les chercheurs ont trouvé sept façons d’exploiter cette faille avant d’aider les différents éditeurs à la corriger.
Là encore la bonne pratique est évidemment de patcher rapidement. Mais combien d’objets connectés, de matériels « réseau » ou de dispositifs médicaux avec une distribution embarquée ne verront jamais de correctifs de sécurité ?
Au boulot, il y a des mises à jour qui nous attendent !
Avez-vous apprécié ce contenu ?
A lire également.
La cyber et les probabilités paresseuses
26 mai 2025 - 21:29,
Tribune
-Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...
Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...
La cyber, les rillettes et les puces en 5 minutes
19 mai 2025 - 23:24,
Tribune
-C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.
Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...
