Le zapping #cybersécurité de la semaine en 10 tweets. Bonne lecture !

Analyse sur le Botnet CITADEL : une industrie du cybercrime tinyurl.com/7fffsxc #Botnet #cybercriminalité #Infosec

— Cyber Veille (@Cyber_Veille) Février 16, 2012

NSA application whitelisting approach cheaply blocks viruses that AV software misses goo.gl/sF5JE #infosec — Ben Rothke (@benrothke) Février 16, 2012

We have just released IRM 15 #trademark #infringement bit.ly/AF6YDa feel free to use & spread it #CERT #DFIR — CERT SocieteGenerale (@CertSG) Février 16, 2012

La fraude à la carte bancaire sur Internet explose selon UFC-Que Choisir bit.ly/xOBZyM — Nicolas Caproni (@ncaproni) Février 16, 2012

« New tools and a dedicated cyber defense team are required to counter targeted attacks » -me hackers5.com/pages/600-Inte… — cyberwar (@cyberwar) Février 16, 2012

 

Cyberwar Is the New Yellowcake, Fueling a Cybersecurity-Industrial Complex: In last month’s State of the Union a… bit.ly/zSAhdS — Threat Level Blog (@ThreatLevel) Février 14, 2012

excellent ! – RT @mbenlakhoua: Best Tools Report 2011 by #ToolsWatch Service Nabil OUCHN & Maximiliano SOLER bit.ly/xJTlHJ — cedricpernet (@cedricpernet) Février 13, 2012

 

Report: malware pushed by affiliate networks remains the primary growth factor of the cybercrime ecosystem – is.gd/n02rdD — Dancho Danchev (@danchodanchev) Février 17, 2012

 

FireEye report shows 50 malware families responsible for 80% of successful infections bit.ly/A17a6R — Virus Bulletin (@virusbtn) Février 14, 2012

Les serveurs de Nortel piratés pendant près de 10 ans bit.ly/yWcGXO #espionnage #cyberwar

— franck miquel (@stratelligent) Février 15, 2012

Cette année, le thème du Forum est la Cybercriminalité. C’est donc tout naturellement que j’ai répondu positivement à la sollicitation des étudiants de l’IRIAF (et d’un ancien professeur) d’intervenir lors de cette journée de conférences. Mon intervention portera sur un sujet d’actualité : les risques liés au Cloud Computing et à la mobilité (avec un zeste d’Intelligence Economique…).

Le programme de la journée est bien rempli. Des gendarmes, des policiers, un expert judiciaire ou encore un avocat viendront témoigner sur la menace cybercriminelle, du cadre juridique ou encore des mesures de protection à mettre en place en entreprise. La journée sera animée par M. Bohy, rédacteur en chef de la revue de « Face au Risque ».

Le programme détaillé 

Les failles des agences bancaires face à l’usurpation d’identité

La technique de fraude utilisée met en évidence deux principales failles de sécurité imputables à la banque :

Envoyer dans un même courrier simple : le code confidentiel et le bon de retrait. Dans mon affaire, ça revient finalement à envoyer le code confidentiel et la carte bancaire ensemble. Le courrier est anonyme. Rien n’indique que c’est un courrier de la banque (mais paradoxalement ça donne un indice de l’importance du courrier…). Pour la Visa Premier, le fond du courrier est en couleur (en doré…). Est-ce que cela a joué dans l’interception de mon courrier ? Je ne sais pas. J’aurais peut-être des réponses, un jour, avec la suite de l’enquête de police (qui a dit que l’espoir fait vivre ?). Pour le moment, aucune nouvelle. Pour en revenir au processus d’envoi des cartes bancaires (ou des chéquiers), il faut aussi savoir qu’il diffère selon les banques ou le type de carte. La plupart envoie les cartes de retrait par courrier simple. D’autres envoient les chéquiers et les cartes bancaires classiques par courrier simple. Chacun en tirera les conclusions qu’il voudra.

Le manque de contrôle d’identité. C’est ce que je considère comme une faute grave car l’agence bancaire a été très laxiste en matière de contrôle d’identité. On pourrait penser que lors de la remise d’une carte bancaire une attention particulière est portée au contrôle de la pièce d’identité… Il semblerait que ça soit tout le contraire. Lors de l’ouverture d’un compte bancaire, la banque demande une carte d’identité ou un passeport. La banque possède donc une copie de votre document d’identité. À quoi sert-elle quand on voit le nombre de fraudes à l’ouverture de compte avec de faux papiers ? À quoi sert-elle quand n’importe qui peut aller récupérer votre carte bancaire avec un faux passeport alors que vous avez fourni à votre banque votre carte d’identité ? À rien (semble-t-il). Aucune vérification sérieuse n’est effectuée (ils n’ont même pas dû vérifier ma date de naissance sur le faux passeport). C’est comme la signature pour les chèques. On vous demande de faire une jolie signature pour vous identifier (et pas authentifier…). Mais la banque ne s’en sert pas pour contrôler sur le bon de retrait. Ni sur les chèques, si j’en crois de nombreux témoignages de victimes de vol de chéquier.

La majorité des agences bancaires ne semble donc pas respecter leur réglementation pourtant supposée assez restrictive. À lire cet excellent article sur le sujet. On y apprend des choses intéressantes. Quelques extraits :

Qui plus est, pour créer une personne physique « sans existence légale » ou des sociétés fictives, les investissements sont modiques : pour quelques centaines d’euros seulement, on trouve des matrices de cartes d’identité sur Internet ainsi que des « templates » de justificatifs de domicile, voire des « kits complets » dans lesquels sont inclus documents d’identité, titres de séjour, attestations de domicile (factures d’opérateurs téléphoniques, relevés EDF-GDF), bulletins de salaire et attestations employeurs, diplômes scolaires, ainsi que relevés d’identité bancaire, relevés de compte, bordereaux de dépôt de chèque…

Le cadre réglementaire existe au travers des devoirs de diligence imposés par le Comité de Bâle. Le plus important d’entre eux est le « Know Your Customer » (KYC), qui a un double objectif :

• s’assurer de la validité et de l’authenticité d’un document d’identité et des pièces justificatives de domicile ;
• contrôler que la personne est bien celle qu’elle prétend être.

Cependant, il appartient à chaque agence bancaire d’appliquer ces vérifications d’usage. Malheureusement, trop souvent, les chargés de clientèle ne sont pas suffisamment formés à la détection de faux documents. Ce n’est pas leur métier : beaucoup se contentent de vérifier les pièces d’identité à partir d’une simple photocopie – rendant impossible le contrôle des sécurités passives propres aux documents présentés (filigrane et non-fluorescence notamment) –, et cela une fois l’ouverture du compte réalisée. Or il existe des systèmes qui, automatiquement et en seulement 3 secondes, indiquent si un document est conforme ou non. 15 à 20 % des établissements bancaires français seulement en sont équipés. On peut d’ailleurs dresser une ligne de séparation entre pays latins et pays anglo-saxons : alors que la France, l’Italie et l’Espagne sont assez peu disciplinées dans ce domaine, et appliquent la directive a minima, la Grande-Bretagne, l’Allemagne, la Hollande et les pays scandinaves appliquent scrupuleusement ces obligations. Améliorer le contrôle d’identité dans les banques sur revue-banque.fr

Donc les obligations réglementaires existent (heureusement) mais sur le terrain on se rend rapidement compte que seul le minimum est mis en oeuvre. Manque de moyens ? Manque de sensibilisation ? Manque de formation ? Manque de volonté ? Manque de temps ? La sécurité coûte chère, même pour les banques. Elles préfèrent donc transférer le risque de fraude sur une assurance. Perdre du temps à vérifier un papier d’identité ou de comparer des signatures de chèques ne semble donc pas faire partie de leurs priorités.

Quoi faire alors ?

De nombreux témoignages sur Internet ou dans les médias traditionnels (je me rappelle d’un reportage d’Envoyé Spécial sur ce thème) ont largement démontré que l’usurpation d’identité est un véritable fléau aujourd’hui. Je ne rentrerai pas dans le débat lié aux nouvelles générations de papiers d’identité qui sont censées apporter une sécurité supplémentaire. Tout ce que je sais c’est que la biométrie n’aurait servi à rien dans le cas de la fraude dont j’ai été victime. Pourquoi ? Parce qu’un simple contrôle comparatif (la tête de l’escroc avec la photo de ma carte d’identité dont la banque a une copie) aurait suffi à démasquer le fraudeur. Pas besoin de haute technologie, juste d’une procédure simple, rapide et efficace. Je rajouterai même de bon sens.

Dans le cas des vols plus classiques de cartes ou de chéquiers, il faudrait peut-être penser à changer son fusil d’épaule et réfléchir à d’autres modes d’envoi de ces moyens de paiement. Privilégier les courriers recommandés ? Privilégier les envois directement à l’agence et l’envoi du code confidentiel par courrier recommandé (ou directement en agence) avec juste un e-mail ou un SMS indiquant au client qu’il doit se rendre à l’agence pour récupérer ces moyens de paiement ?

Dans tous les cas, la priorité est de renforcer les contrôles d’identité en agence bancaire. De la création de compte au retrait de carte bancaire en passant par les retraits d’espèces au guichet (ou les remises de chèques), ma petite expérience confirme une nouvelle fois (si je me fie aux témoignages publiés sur Internet par des centaines de victimes) que les moyens mis en place actuellement sont loin d’être suffisants.

Concernant plus globalement les fraudes aux cartes bancaires, j’insiste aussi sur le fait qu’il faut aller porter plainte. Même si ce n’est pas indispensable pour être dédommagé par la banque, il est important de montrer aux autorités l’importance des fraudes de ce type. Il me semble normal d’avoir, dans un Etat de droit, la possibilité pour une victime de porter plainte pour espérer un minimum de justice et ne pas donner aux fraudeurs en tout genre un sentiment d’impunité (qui reste assez vrai dans le cadre des délits commis sur Internet).

Etre victime d’usurpation d’identité peut transformer une vie en vrai cauchemar. Car ensuite, comment prouver son identité à la Justice ? Aux personnes qui vont vous réclamer de l’argent ? Usurper une identité en ligne est très simple. Usurper une identité dans la vie réelle n’est pas plus difficile. Internet a facilité l’achat de faux documents. La criminalité physique a rapidement trouvé en Internet un lieu de convergence avec la cybercriminalité. On trouve tout sur les forums cybercriminels : de la photocopie photoshopée (qui trompera déjà pas mal de services en ligne…) au vrai faux papier en passant par les justificatifs de domicile (facture de téléphone, d’électricité…).

Pour mon cas personnel, normalement je serai intégralement remboursé. Par contre, maintenant je sais que quelqu’un possède un faux document d’identité et qu’il peut usurper mon identité pour monter des arnaques et escroqueries en tout genre.

Et vous, que pensez-vous de ce témoignage ? Avez-vous déjà connu ce genre de fraudes ?

Que pensez-vous des mesures de sécurité mises en place par votre banque pour lutter contre l’usurpation d’identité ? Avez-vous des idées pour améliorer le système ?

3615 my life

Après l’ouverture d’un nouveau compte bancaire, j’aurais dû en effet recevoir une carte bancaire. Procédure classique : un courrier avec le code confidentiel accompagné d’un bon de retrait de la carte en agence. Et là c’est le drame car je n’ai jamais reçu ce courrier. Il y a donc deux semaines, je vérifiais mes comptes sur l’application iPad de la banque. Oups… un retrait de 500 euros datant de la veille. Problème : je n’ai jamais reçu le courrier et je ne suis donc jamais allé chercher ma carte… Je fais immédiatement opposition mais le mal est fait.

Le mardi suivant (et oui les agences bancaires sont fermées le lundi…), ma conseillère m’appelle et m’explique la situation. Une personne s’est présentée le samedi matin à l’agence pour récupérer ma carte bancaire en usurpant mon identité à l’aide d’un faux passeport à mon nom (je n’ai pas de passeport). #FAILED de compétition (pour la banque et pour moi par la même occasion…)

Pour récupérer et utiliser ma carte, l’escroc avait besoin du courrier, qui indique mon nom et mon code confidentiel, et qui est accompagné par le bon de retrait de la carte. Mon courrier a donc été intercepté (il n’y a pas qu’Internet qui n’est pas sécurisé…). Il a probablement dû être volé au centre de tri postal (ou alors c’est une fraude interne à la banque). Laissons la police faire son boulot. Dans tous les cas, cela reste une fraude certes classique (comme la police me l’a confirmé) mais sophistiquée dans l’approche : interception de courrier sensible, achat ou préparation d’un faux passeport et ensuite se risquer à récupérer la carte dans l’agence. Mission accomplie.

Conséquences

Mon compte s’est vidé de plusieurs milliers d’euros d’achat en magasins sur la seule journée de samedi. Heureusement que c’étaient les Soldes… Évidemment tout est couvert par l’assurance : cela semble en effet l’une des seules actions prises pour la banque pour réduire (enfin transférer) les risques de fraudes bancaires… Le montant élevé de la fraude s’explique par le fait que la carte volée était une Visa Premier. Ce type de carte possède un plafond de retrait et de paiement sur 30 jours assez important… Mais ça marche aussi sur une journée. Ces cartes bancaires ressemblent finalement beaucoup à des cartes de crédit. Pouvoir dépenser plusieurs milliers d’euros à partir d’un compte vide (!!!) en une journée tout en ayant un découvert autorisé de quelques centaines d’euros paraît surréaliste (la police a semblé surprise quand j’ai parlé de cela). Selon ma conseillère, les paiements par CB chez un commerçant ne sont verifiés qu’à posteriori… Il paraîtrait impossible de procéder à quelques contrôles avant le paiement d’importantes transactions (surtout si elles se multiplient sous 24h) pour vérifier le solde du compte / découvert autorisé et déclencher potentiellement une petite alarme dans le système informatique de la banque (envoi d’un SMS pour confirmation ?)

Direction le commissariat

J’ai rapidement porté plainte le jour de l’appel de ma conseillère. Au commissariat de police, on a tout d’abord essayé de me faire déposer une simple main courante (ils suivent bien les instructions du Ministère de la Justice…). Selon eux, la carte ne m’avait pas été volé car je ne l’avais jamais reçu (ça aurait donc été à la banque à porter plainte)… J’ai rétorqué (avec ironie) que je pouvais peut-être alors porter plainte pour usurpation d’identité. Finalement, ils ont bien pris ma plainte pour escroquerie, en râlant sur le fait que j’aurais du aller dans un autre commissariat et sur le peu d’informations que la banque m’avait fourni (apparence de l’escroc, lieu du retrait au DAB…). Certes la banque ne m’a pas dit grand chose mais n’est-ce pas leur boulot d’enquêter ?

Ils m’ont même demandé d’aller chercher la seule « preuve » physique : le bon de retait signé et touché par l’escroc. Au dernier moment, j’ai dû le ramener à la banque car la procédure policière n’était pas respectée…

Fin de la première partie. Dans mon prochain billet, je vous parlerai des failles mises en évidence par rapport à ce type de fraude. L’usurpation d’identité est en effet un véritable fléau contre lequel les banques doivent lutter en faisant beaucoup plus d’efforts.

Ces systèmes, utilisés par les infrastructures critiques (transport, nucléaire, électricité, gaz, eau, etc.), sont essentiels à leur fonctionnement. Sauf qu’ils sont de plus en plus souvent connectés à Internet. Et ils ne sont pas toujours très bien sécurisés… Pourquoi ? Bonne question. Certains de ses systèmes sont assez anciens mais cela n’explique pas tout. Je pense surtout que, comme pour beaucoup de systèmes « informatiques » (au sens large) la sécurité n’a jamais été une préoccupation majeure de leurs concepteurs et ensuite de leurs exploitants. Par exemple, dans l’affaire Stuxnet, on retrouve notamment des mots de passe codés en dur (#FAILED) dans leurs programmes. On ne peut donc pas les changer facilement et bien sûr tout le monde les connaît. On peut aussi tomber sur des systèmes protégés le login / mot de passe par défaut du constructeur…

#SCADA #FRANCE #FULLDISCLOSURE #FEAR

Avant hier soir, j’ai vu passer sur Twitter de nombreux liens accompagnés des hashtags #SCADA #FULLDISCLOSURE. Un peu inquiétant mais on commence à s’habituer. Un compte Twitter (@ntisec pour pas le citer mais il y en a sûrement d’autres) publie en effet depuis quelques jours sur pastebin.com des IP qui mènent à des interfaces d’administration de (potentiels) SCADA. Ce qui m’a interpellé c’est plutôt le hashtag #FRANCE accompagnant deux des tweets… @LoicBreat, qui a réagi à ces mêmes tweets, fait un petit WHOIS sur une des URLs et bingo. Je vous laisse jeter un oeil au screenshot.

Ce parc éolien français, géré par notre fournisseur d’électricité national, possède au moins un système équipé par un logiciel de type SCADA, dont l’interface est accessible facilement depuis Internet. Peut-être que le risque associé est faible, je ne sais pas, je ne suis pas un expert des systèmes SCADA (mais c’est un métier d’avenir !). Mais est-il normal de laisser accessible à tous ce genre d’informations sur Internet ?

Après quelques recherches sur Internet, on sait même à quoi ressemble le terminal (sur l’URL d’administration, on a les numéros de version qui vont bien et bien sûr le modèle du terminal).

Encore un produit Siemens…

Que dire de plus ? Je parlais dans mon dernier billet de fondamentaux de la sécurité. Mais ici on parle (en plus) de systèmes critiques qu’on imaginait un peu plus protégé. Alors oui, il n’y a pas eu encore de conséquences sur des vies humaines ni de dégâts matériels (à notre connaissance). Peut-être également qu’accéder à ce terminal ne mène à rien. Mon but n’est pas de dramatiser à outrance ces cyber menaces.  Mais pourquoi se compliquer la vie en laissant des « portes ouvertes » de façon si ostentatoire… Car ces données, une simple recherche sur Google ou Shodan permet de les (re)trouver. Pour les plus feignants, le moteur de recherche de pastebin.com fonctionne très bien.

Malheureusement on n’a pas fini d’entendre parler ni de sécurité ni de SCADA… Pour ne pas rester sur une note négative et être un peu optimiste, pas mal d’initiatives (américaines notamment) ont commencé à émerger depuis quelques années sur la cyber sécurité des SCADA. Le problème est connu, les solutions existent (la documentation sur le sujet existe en quantité) mais elles coûtent chères. A suivre…

Back to Basics sera une série de billets consacrés aux fondamentaux de la sécurité informatique. En effet, avant de parler des grands systèmes de sécurité à la mode, il est indispensable d’en revenir aux bases, aux bonnes vielles pratiques de sécurité. Des règles qui semblent si triviales qu’on pourrait croire qu’évidemment tout le monde les respecte. Erreur. Il suffit de prendre les cas Stratfor ou Sony pour avoir de bons exemples de ce qu’il ne faut pas faire ! A ce niveau, ce n’est même plus des erreurs mais bien des fautes professionnelles.

Mais où sont passés nos fondamentaux de la sécurité ? Qui sait choisir un mot de passe sécurisé ? Qui sauvegarde bien ses données ? Qui s’informe sur les dernières menaces pouvant potentiellement toucher son SI ? Qui met à jour régulièrement ses serveurs, ses postes de travail sans oublier ses plugins Java, Flash ou Reader ? Qui a pris le temps de former, d’informer des collègues sur les risques liés au non respect de cette belle politique de sécurité ?

Je ne cherche pas à caricaturer. Nous savons tous que c’est la réalité de tous les jours. La sécurité reste et restera l’affaire de tous. Osons même le mot responsabilité. Après, je ne nie pas la difficulté d’allier sécurité et business au quotidien : les contraintes métier, les coûts, les réticences des utilisateurs ou encore les conflits de personnes (et les problèmes politiques internes…).

L’objectif de cette série d’articles est de définir (ou tout su moins de rappeler) des règles de bonnes pratiques que chacun d’entre nous devrait respecter. J’aime parler dans ce cas de « cyber hygiène« . Patrick Pailloux, directeur général de l’ANSSI, semble préférer la notion d’hygiène informatique. L’analogie avec le monde médical me semble bien adaptée. On n’éliminera pas avec ces simples mesures d’hygiène les menaces les plus avancées mais on évitera les petits bobos qui, en informatique, peuvent prendre rapidement des proportions importantes rien qu’en termes d’image de marque et de confiance.

En conclusion : qu’on soit un simple utilisateur, un administrateur système, un consultant en sécurité, un développeur, un journaliste, un commercial toujours sur la route ou le big boss, chacun a son niveau se doit de connaître et de respecter des règles, souvent de bon sens, qui vont permettre de limiter les risques informatiques.

Pour compléter cette future série d’articles, vous avez la possibilité de donner votre avis via les commentaires de ce blog ou via les réseaux sociaux (Twitter ou sur la page Facebook). Si vous avez des exemples concrets de ce qu’il ne faut pas faire et d’une règle de cyber hygiène associée, lancez-vous !

En 3 lettres : APT pour nos fameuses Advanced Persistent Threat (ou Adobe Persistent Threat pour les mauvaises langues sur Twitter… elle n’est pas de moi). Les stars de l’année 2011, mention spéciale à RSA (prix d’interprétation 2011).

En 5 lettres : SCADA pour Supervisory Control And Data Acquisition. Les rumeurs d’attaques contre les infrastructures de type SCADA ont animé cette année 2011. Les termes Hack et SCADA renvoient sur Google près de 1 250 000 résultats aujourd’hui. A côté de cela, les rapports se multiplient pour alerter contre les risques de cyber-attaques ou de cyber-sabotages contre ces infrastructures critiques. Les derniers en date ? Les inquiétudes du FBI (pour justifier une augmentation de budget ?) Et celles du DHS.

Et enfin en 4 lettres : BYOD pour Bring Your Own Device. Et oui c’est une réalité, aujourd’hui qui n’apporte pas son smartphone personnel au boulot et n’en a pas un usage professionnel ? Selon une récente étude menée par IDC et IBM, 67% des salariés français auraient déjà succombé à ce phénomène. Et le BYOD, en plus d’être encore peu intégré par les DSI (selon la même étude, 76% des DSI n’en mesurent pas encore l’impact dans leur organisation…) est devenu le cauchemar des RSSI. En effet, comment contrôler ces terminaux mobiles personnels ? Comment les intégrer à la politique sécurité de l’entreprise ? Faut-il les bannir ? Comment les accueillir ? Ce qui est certain ce sont les risques liés à cette pratique : perte ou vol des smartphones, fuite de données, porte d’entrée (qui a dit dérobée ?) au système d’information de l’entreprise…

Pour en savoir plus :

• Sur les APT, le travail des étudiants d’EPITA
• Sur le BYOD, même chose, une bonne synthèse des étudiants de l’option SRS d’EPITA

Il existe assez d’outils simples, performants et gratuits (la plupart du temps) pour gérer une veille efficace (sans monter d’usine à gaz).

Quelles sources ?

Avant de parler d’outils, parlons de sources. Où trouver des bonnes sources ? Vous pouvez commencer de suivre mon compte Twitter (@ncaproni) et de guetter les liens que je partage et ainsi de retrouver mes sites de référence (que ce soit des blogs spécialisés d’expert du domaine ou les sites d’informations américains ou français). Toujours sur Twitter, une simple recherche avec « cybercriminalité », « cybersecurité », « cyber security », « malware »… permet d’identifier les twittos spécialisés dans le domaine. La communauté s’agrandit tous les jours ! N’hésitez pas à partager vos sites préférés en commentaires.

Ensuite, rien de plus facile que de s’abonner à des flux RSS ou Atom pour se créer un bon panier de sources primaires. Oui, on en reste aux bons flux RSS car Twitter étant un « média » à suivre en temps réel, il n’est pas facile à suivre au quotidien (surtout depuis que Twitter a supprimé la possibilité de générer des flux RSS). Pour organiser ces flux d’informations, Google Reader reste le meilleur lecteur RSS en ligne. Personnellement, j’utilise « au-dessus » de Google Reader l’application web Feedly qui remet en forme les flux RSS et offre des nombreuses fonctionnalités de partage. Pourquoi ? Principalement pour partager ma veille sur Twitter (on y reviendra), pour la capitaliser et pour une meilleure lisibilité (mais je n’ai pas vraiment tester la nouvelle version de Google Reader pour comparer).

Feedly

Traiter les informations

Alimenté par un bon panier de sources et doté d’un bon outil de gestion de flux RSS, je suis alors en mesure de disposer d’une veille assez complète (ne pas oublier de toujours rester à l’affût de nouvelles sources d’informations !!!) mais ensuite il va falloir l’exploiter. C’est bien beau de recevoir un flux d’informations (de plus en plus dense…) encore faut-il savoir le trier et le traiter (c’est à dire lire et exploiter les articles, dossiers ou tout autre forme de contenu). Pour cela, j’utilise un système de bookmarking en ligne de type « à lire plus tard ». J’ai choisi le service Read It Later pour lire tranquilement chez moi et surtout dans les transports en communs les infos qui me semblaient intéressantes à lire de manière plus approfondie. Il existe également Instpaper ou même Diigo qui proposent le même type de fonctionnalités. J’utilise également Diigo pour archiver tous les liens présents dans mes tweets et retweets quotidiens. Je dispose ainsi d’une base de connaissances en ligne (et en mode public, je vous laisse chercher !).

Read It Later

Read It Later (et Diigo) disposent de nombreux plugins Firefox ou Chrome (devenu rapidement mon navigateur préféré) qui en un clic permette de mettre de côté un article intéressant (tout en le taggant pour le classer correctement). Ensuite, je peux lire tranquillement les articles dans le métro sur mon iPhone ou mon iPad (une version Android est sûrement disponible également).

Concernant les rapports, livres blancs et autres diverses études publiés quotidiennement, je préfère les stocker sur Dropbox par exemple pour les lire sur iPhone ou iPad quand l’occasion se présente. La mobilité (smartphone et tablette) est clairement devenu pour moi un outil indispensable pour améliorer ma veille et accéder à l’information où que je sois et quand je le souhaite.

Mon Google Reader

Et partager ?

La veille fait partie de mon travail. J’ai décidé de la rendre partiellement publique en partageant mes liens sur Twitter mais aussi à travers ce blog. Pour la partager, rien de bien compliqué. Un compte Twitter, un groupe Facebook, un profil Viadeo ou LinkedIn, associé à Feedly sur son poste de travail ou directement depuis son iPhone via son application mobile préférée de flux RSS (Feeddler Pro pour ma part) permet de partager une veille sur ses réseaux sociaux préférés.

Feedler sur mon iPad

Je ne saurai que vous inciter à partager votre veille. Pourquoi ?  Ce n’est que de l’information publique, souvent banale mais qui reste souvent non exploitée, non analysée… Le but ? Créer et animer une communauté sécurité française mais aussi européenne afin d’améliorer notre compréhension de ces nouvelles menaces (et tirer des leçons des attaques rendues publiques) et sensibiliser le plus grand monde aux enjeux de la cyber-sécurité.

Et vous, votre veille, vous l’organisez comment ?

En voici déjà quelques-uns :

• [Project 449 Insitute] « The Chinese People’s Liberation Army Signals Intelligence and Cyber Reconnaissance Infrastructure » Ce premier document s’intéresse à nos cyber-espions préférés : les chinois et leurs différentes unités « cyber » militaires (PLA). Merci à Daniel Ventre et à son nouveau blog qui a relayé l’information.
• [M86 Security] « Threat Predictions 2012″ Ce rapport tout récent inaugure la série de rapports qui va déferler durant les prochaines semaines. Fin d’année oblige, il est temps de penser à 2012 et aux futures menaces qui vont nous donner beaucoup (vraiment beaucoup) de boulot. A la une de ce rapport de M86 Security : les menaces contre les terminaux mobiles, les menaces ciblées, les scams sur les réseaux sociaux, la prolifération des exploit kits… Rien de bien nouveau.
• [Symantec] « Motivation of Recent Android Malware » Un nouveau rapport du prolifique Symantec qui revient sur un sujet d’actualité : les malwares visant les plateformes mobiles Android, nouveau leader mondial du marché des OS mobiles. Symantec y détaille 7 objectifs recherchés par les cybercriminels afin de monétiser leurs attaques sur Android (spyware, pay-per-clic, adware, vol de mTAN, search engine poisoning…) et évoque les menaces de demain.
• [GIAC] « A Detailed Analysis of an Advanced Persistent Threat Malware » un papier plus technique détaillant le mode opératoire d’un malware récolté en pièce-jointe d’une tentative de spear-phishing.

La suite au prochain épisode !

Bonne lecture !