Comment installer le portail CVE-SEARCH sous Ubuntu 20.04 LTSIntroduction CVE-SEARCH est un outil qui permet d’importer les CVE (Commun Vulnerabilities and Exposures) ainsi que les CPE (Common Platforme Enumeration) au sein d’une base de données MongoDB accessible via votre navigateur. L’objectif du projet était de permettre de consulter en local les bases de données publiques…
Guide d’utilisation et standards d’usages de la classification TLPDepuis quelques mois, j’utilise un système de diffusion des documents dans le domaine de la CyberSécurité qui complète de façon pragmatique les différentes politiques de sécurité en œuvre au sein des entreprises où j’interviens. Le Traffic Light Protocol ou plus communément le TLP. Cet article s’appuie sur le…
L’arnaque au saut du lit…Il m’est arrivé ce matin à la maison entre le café et les œufs brouillés un appel du support téléphonique de Microsoft en mauvais anglais me signalant un PC infecté chez moi… Après une présentation, ce charmant technicien me demande de vérifier mon PC. Je lui explique que je dispose d’un parc de plusieurs…
Le Standard PKCS#11 obtient un RFC: 7512Un RFC vient de sortir dans la plus grande discrétion sur la norme technique PKCS#11 qui est utilisé sur pas mal de boitiers de cryptographie ou plus connus sous le nom barbare de HSM. Ce RFC vient d’être publier sur le site de l’IETF et il est disponible en…
La qualification des prestataires d’Audit de sécurité des systèmes d’information compliant RGS Ayant le privilège de participer au groupe de travail sur les prestataires d’audit de sécurités sur les systèmes d’informations à l’OSSIR (http://www.ossir.org), je vous propose le billet suivant sur cette nouvelle qualification d’Audit de sécurité made in France
Analyse du retour d’audit de l’audit de code de TrueCrypt Partie 2Le NCC Group vient de publier la seconde revue de code sur le logiciel TrueCrypt. La première lecture vous laisse sur votre faim. Beaucoup de bruits pour pas grand chose, on apprend que l’on est exposé à 4 failles sur les modules de chiffrements…
La journée de la SSI par l’OSSIRLe 10 Mars 2015 aura lieu la JSSI de l’OSSIR, cette année le thème sera « Quel avenir pour la souveraineté française en SSI ». Les conférenciers seront l’ANSII, l’Institut Français d’Analyse Stratégique, des experts indépendants (Nicolas Ruff, Stéphane Borzmeyer…) ainsi que le cabinet HSC, l’avocat Alain Bensoussan…
Peux-t’on encore faire confiance à TrueCrypt…Depuis la fin du projet Truecrypt en juin 2014, beaucoup de RSSI et de consultants sécurités se demande s’ils peuvent encore faire confiance à ce logiciel. La version 7.2 est fortement déconseillée suite à la découverte de Malware et la présence d’une clé ancienne de l’équipe de développement. Un projet…
Sécurité et Espionnage Informatique une menace réelle aujourd’huiDepuis quelques années, nous entendons parler de menace APT (Advanced Persistent Threat) ainsi que de Cyberespionnage sans réellement pouvoir identifier, évaluer la menace. Après un sondage auprès de différents RSSI / RSSO, il apparait que nous sommes avec un niveau d’information peu précis surtout en cas de demande…
Choisir le bon protocole de chiffrement pour PCI DSSAprès une réunion au sein du groupe cartes bancaires, j’ai eu l’occasion de rencontrer Jeremy King Directeur à l’International du PCI SSC pour échanger sur l’utilisation du protocole de chiffrement à utiliser sur une plateforme PCI DSS. La réponse fut brutale : « OpenSSL is broken and using…
