Fredivoire

🔐🔒🛑Vigilance

Bonne nuit 🥰🥰

🛑🛑🛑 La violation de données personnelles des abonnés de prend une nouvelle tournure.

En effet, le présumé cybercriminel qui serait à l'origine de cette attaque cyber n'a pas du tout apprécié le silence de free sur la fuite des données bancaires ( en l'occurrence).

Conséquence ??? très tôt ce matin, à 4h30, le présumé cybercriminel a diffusé gratuitement un échantillon de 100 000 IBAN sur un site de vente du dark web, surnommé le “Amazon de la cybercriminalité”. Ce ne serait donc qu’un avant-goût des 5,11 millions qui seraient en sa possession.

Free a-t-il volontairement décidé de minimiser l'ampleur de cette situation, et de faire une fausse déclaration à l'occasion de la notification et , et de l'information de ses abonnés ? Le cas échéant, ce serait non seulement un vrai manque de respect envers ses abonnés mais également une violation flagrante du .

En tout état de cause, chaque ́s de l'opérateur doit exercer son droit en demandant clairement à free si des données bancaires sont concernées par cette violation.

source : rockib-assani

🚨 Vulnérabilité critique dans hashtag en exploitation active ! 🚨
🔍 a confirmé la faille CVE-2024-47575, surnommée " ", avec un score de 9.8 en CVSS. Cette vulnérabilité permet à des attaquants non authentifiés d'exécuter du code à distance via le protocole . 😱

⚠️ Impact et mesures :
- Impacte : FortiManager versions 7.x, 6.x et certains modèles FortiAnalyzer avec FGFM activé.
- Mesures : Empêcher les inscriptions inconnues, ajouter des politiques IP et utiliser un certificat personnalisé. 🔒

a ajouté cette faille à son catalogue de vulnérabilités exploitées ( ). Les agences fédérales doivent appliquer les correctifs avant le 13 novembre 2024. 📅

attribue l'attaque à un groupe nommé , ayant compromis plus de 50 dispositifs. L'exploitation exfiltre des configurations et des identifiants de FortiGate. 🕵️‍♂️

Actions urgentes : Appliquer le patch publié le 24 octobre, surveiller les journaux d'accès et revoir vos plans de réponse aux incidents. 🛡️

source : https://thehackernews.com/2024/10/fortinet-warns-of-critical.html

1. C'est quoi un VPN ?
2. Est il une solution de sécurité ?
3. Si oui(Q2), pourrait-il aider les utilisateurs du réseau WiFi ?

🚫🔐🔏🔓Vous utilisez le même 𝐦𝐨𝐭 𝐝𝐞 𝐩𝐚𝐬𝐬𝐞 entre votre session informatique professionnelle et les divers sites internet ?
, , , , , ....

Le pourquoi: « 𝐶’𝑒𝑠𝑡 𝑏𝑒𝑎𝑢𝑐𝑜𝑢𝑝 𝑝𝑙𝑢𝑠 𝑠𝑖𝑚𝑝𝑙𝑒 𝑝𝑜𝑢𝑟 𝑠’𝑒𝑛 𝑠𝑜𝑢𝑣𝑒𝑛𝑖𝑟 » disent-ils…

C’est le constat souvent réalisé lors de mes audits

Sachez que, si votre entreprise assure un niveau de protection « 𝐨𝐩𝐭𝐢𝐦𝐚𝐥𝐞 » concernant la ́curité , ce n’est absolument pas le cas de la plupart des sites .

Voici quelques préconisations à destination des :
1. Instaurer un renouvellement 𝐚𝐮𝐭𝐨𝐦𝐚𝐭𝐢𝐪𝐮𝐞 𝐞𝐭 𝐫𝐞́𝐠𝐮𝐥𝐢𝐞𝐫 des mots de passe de vos salariés

2. Les mots de passe doivent être composés d'au minimum 𝟏𝟐 𝐜𝐚𝐫𝐚𝐜𝐭𝐞̀𝐫𝐞𝐬 comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux

3. Donner pour consigne à vos salariés de choisir un mot de passe sur une 𝐭𝐡𝐞́𝐦𝐚𝐭𝐢𝐪𝐮𝐞 𝐝𝐞́𝐝𝐢𝐞́𝐞 (végétaux, animaux, ville, objet...) et de 𝐧𝐞 𝐩𝐚𝐬 𝐮𝐭𝐢𝐥𝐢𝐬𝐞𝐫 𝐝𝐞𝐬 𝐦𝐨𝐭𝐬 𝐬𝐢𝐦𝐢𝐥𝐚𝐢𝐫𝐞𝐬 𝐩𝐨𝐮𝐫 𝐥𝐞𝐬 𝐬𝐢𝐭𝐞𝐬 𝐢𝐧𝐭𝐞𝐫𝐧𝐞𝐭 𝐞𝐱𝐭𝐞𝐫𝐧𝐞𝐬

4. Garder son mot de passe ne signifie pas de pas faire confiance en ses collègue ! Une entreprise bien organisée n’a pas besoin de se connecter aux comptes de ses salariés

, , , ,

⛔🛑OPEN RAN - Telecom🤖

OPEN RAN (Open Radio Access Network) est une approche ouverte et décentralisée des réseaux d'accès radio, qui permet aux opérateurs de télécommunications de déployer des équipements provenant de différents fournisseurs. Cela contraste avec les réseaux RAN traditionnels, où un seul fournisseur fournit souvent des solutions matérielles et logicielles intégrées.

Le but d'OPEN RAN est de favoriser l'interopérabilité entre les composants et d'encourager l'innovation en utilisant des interfaces ouvertes et normalisées. Il divise le réseau RAN en plusieurs parties (comme l'unité radio, l'unité distribuée et l'unité centrale) qui peuvent être fournies par différents acteurs, permettant ainsi plus de flexibilité, des coûts potentiellement plus bas et une capacité accrue à personnaliser et innover.

Les avantages principaux d'OPEN RAN incluent :

Réduction de la dépendance vis-à-vis des fournisseurs.

Plus de compétitivité dans le secteur des télécoms.

Meilleure flexibilité pour l'intégration de nouvelles technologies.

Cependant, des défis subsistent, notamment en matière de sécurité et d'intégration des différents composants.

🚀 🛑⛔30 compétences pour réussir dans la cybersécurité

La vérité, c’est que personne ne se soucie vraiment de comment tu acquiers tes compétences.

Ce qui compte, c’est ce que tu sais et comment tu l’appliques. 💼

Si tu veux décrocher un poste en cybersécurité, commence par maîtriser des compétences clés et spécialise toi. Dans un secteur en constante évolution, ces connaissances te garantiront une carrière sécurisée et épanouissante.

Les 30 compétences essentielles pour percer en cybersécurité :

1. 🔌 Fondamentaux des réseaux
2. 💻 Systèmes d'exploitation
3. 🔐 Cryptographie
4. 🔥 Pare-feu
5. 🛡 Systèmes de détection/prévention des intrusions
6. 📊 Gestion des risques
7. 🌐 Sécurité des applications web
8. 🔍 Évaluation des vulnérabilités
9. 🕵 Tests d'intrusion
10. 🚨 Réponse aux incidents
11. 🦠 Analyse des malwares
12. 👨‍💻 Pratiques de codage sécurisé
13. 📡 Sécurité des réseaux sans fil
14. 🧠 Ingénierie sociale
15. 🔄 Protocoles de sécurité des réseaux
16. 👤 Gestion des identités et des accès (IAM)
17. 📈 SIEM / SOC
18. ☁ Sécurité du cloud
19. 📱 Sécurité mobile
20. 🖥 Sécurité de la virtualisation
21. 📦 Prévention des pertes de données
22. 📜 Conformité et régulations
23. 🛠 Analyse forensique
24. 🧾 Audit de sécurité
25. 🏛 Architecture et conception de la sécurité
26. 📚 Renseignement sur les menaces
27. 📄 Politiques et procédures de sécurité
28. 🔄 Gestion des correctifs
29. 📡 Analyse du trafic réseau
30. 🎓 Formation à la sensibilisation à la sécurité

👉 Apprends-en autant que possible sur des sujets identifiés et tu pourrais bien te retrouver avec une carrière ultra valorisante dans un secteur en pleine croissance.

Source : Mike Miller

🚨🛑 Alerte Arnaque : Quand l'IA imite vos proches au téléphone pour vous escroquer ! ⛔🤖📞

Les escrocs trouvent de nouveaux moyens toujours plus sophistiqués pour piéger les victimes en utilisant l'intelligence artificielle (IA) pour cloner la voix de vos proches et vous demander de l'argent. 💸

⚠️ Comment ça fonctionne ?
- Les escrocs capturent quelques secondes d'audio d'une voix, souvent trouvées sur les réseaux sociaux.
- Grâce à des plateformes comme Murf ou ElevenLabs, ils recréent une voix réaliste pour convaincre la victime qu’un proche est en détresse. 😱
- Sous la pression, les victimes envoient de l’argent, pensant aider un proche dans le besoin.

Les chiffres sont alarmants : 45 % des personnes interrogées par McAfee ont déclaré qu'elles répondraient à un message vocal ressemblant à celui d’un proche, et certaines ont perdu plus de 5000$ dans ces arnaques.

🔑 Comment se protéger ?
- Restez vigilant : Ne répondez pas à des demandes urgentes d’argent sans vérifier !
- Posez des questions spécifiques que seul votre proche pourrait connaître.
- Mettez l'appel en attente et appelez la personne directement pour confirmer la situation.

L’IA, bien qu’impressionnante, peut être utilisée à des fins malveillantes. Protégez-vous et restez toujours sur vos gardes face à des demandes urgentes ! 🛡️

Source : https://www.phonandroid.com/des-arnaqueurs-se-font-passer-pour-vos-proches-au-telephone-pour-vous-demander-de-largent.html

Des arnaqueurs utilisent l'IA pour imiter vos proches au téléphone et vous demander de l’argent Des escrocs ont trouvé un moyen d'exploiter des victimes sans méfiance en utilisant l'intelligence artificielle (IA) pour imiter la voix de leurs proches.

🤖🛑⛔Faille 0day sur Firefox

Une vulnérabilité critique use-after-free (lorsqu'un programme accède à une zone mémoire après l'avoir libérée, permettant à un attaquant d'injecter du code malveillant, entraînant des risques comme l'exécution de code arbitraire), impacte Firefox et Firefox Extended Support Release (ESR).

Identifiée sous la référence CVE-2024-9680 avec un score CVSS de 9,8/10, cette vulnérabilité critique est activement exploitée. Elle permet à un site malveillant d’exécuter du code avec les privilèges d’exécution de Firefox. Si ces privilèges correspondent à ceux de root ou administrateur, l'impact potentiel sur le système d'exploitation pourrait être particulièrement grave, compromettant ainsi sa sécurité et son intégrité.

Les versions suivantes corrigent cette faille de sécurité :
-Firefox ESR 115.16.1
-Firefox ESR 128.3.1
-Firefox 131.0.2

Il est fortement conseillé de mettre à jour Firefox sans délai pour se protéger contre cette vulnérabilité critique.

🛡️💻 Comment savoir si son PC est touché par un logiciel malveillant ?
🔍 Les signes à surveiller pour protéger votre ordinateur !

1️⃣ Ralentissement du PC 🐢 : Votre ordinateur met plus de temps à démarrer ou à ouvrir des programmes ? Un logiciel malveillant pourrait fonctionner en arrière-plan.

2️⃣ Ralentissement de la connexion Internet 🌐 : Des malwares peuvent utiliser votre connexion pour envoyer des données ou participer à des attaques DDoS.

3️⃣ Invasion de publicités 📢 : Des pop-ups intempestifs ou des redirections vers des sites inconnus peuvent indiquer la présence d'adwares.

4️⃣ Programmes inconnus installés 🛠️ : L'apparition de logiciels que vous n'avez pas installés est un signe d'infection.

🛠️ Comment vérifier et éliminer les logiciels malveillants ?
Analyser les processus en cours 🔎 : Utilisez le Gestionnaire des tâches pour repérer des programmes suspects.

Vérifiez les extensions de votre navigateur 🌐 : Supprimez les extensions inconnues ou indésirables.

Scannez avec un logiciel anti-malware 🛡️ : Des outils comme Malwarebytes ou AdwCleaner peuvent détecter et supprimer les menaces.

🤝 Soyez proactif pour éviter l'invasion !
La prévention est la clé 🔑 : Méfiez-vous de ce que vous téléchargez sur Internet et restez vigilant face aux pièces jointes et liens suspects. 🚫📥

⚡ 𝗟𝗲 𝗡𝗜𝗦𝗧 𝗿𝗲𝗰𝗼𝗺𝗺𝗮𝗻𝗱𝗲 𝗱𝗲 𝗻𝗼𝘂𝘃𝗲𝗹𝗹𝗲𝘀 𝗿𝗲̀𝗴𝗹𝗲𝘀 𝗽𝗼𝘂𝗿 𝗹𝗮 𝘀𝗲́𝗰𝘂𝗿𝗶𝘁𝗲́ 𝗱𝗲𝘀 𝗺𝗼𝘁𝘀 𝗱𝗲 𝗽𝗮𝘀𝘀𝗲

📌 Le National Institute of Standards and Technology (NIST) a publié une 𝗺𝗶𝘀𝗲 𝗮̀ 𝗷𝗼𝘂𝗿 de sa directive pour la sécurité des mots de passe ce qui implique un changement important par rapport aux pratiques traditionnelles en insistant cette fois-ci sur l'authentification.

📌 Ces recommandations mettent l'accent sur la longueur des mots de passe plutôt que sur leur complexité (lettres, chiffres, caractères spéciaux). Le NIST préconise une longueur minimale de 8 caractères et suggère d'autoriser des mots de passe allant jusqu'à 64 caractères pour permettre l'utilisation de phrases de passe.

📌 Il n'est plus recommandé d'imposer des changements périodiques de mot de passe, car cela peut affaiblir la sécurité en incitant à des modifications mineures et prévisibles.

📌 Les mots de passe ne devraient être modifiés que lorsqu’il existe des preuves de compromission.

📌 Les nouvelles directives insistent également sur la vérification des mots de passe par rapport à des listes de mots de passe faibles ou compromis, et déconseillent l’utilisation de questions de sécurité ou d’indices.

📌 Pour le stockage des mots de passe, le NIST recommande un hachage salé et l’authentification multifacteur (hashtag ) est fortement encouragée pour renforcer la sécurité.

✳ Autres exigences à respecter dans les politiques de sécurité :

⏩ Exiger que les mots de passe comportent au moins 8 caractères et DEVRAIENT exiger que les mots de passe comportent au moins 15 caractères.

⏩ Autoriser une longueur de mot de passe maximale d'au moins 64 caractères.

⏩ Accepter tous les caractères ASCII imprimables et le caractère espace dans les mots de passe.

⏩ DOIVENT accepter les caractères Unicode [ISO/ISC 10646] dans les mots de passe. Chaque point de code Unicode DOIT être compté comme un seul caractère lors de l'évaluation de la longueur du mot de passe.

⏩ NE DOIVENT PAS imposer d'autres règles de composition (par exemple, exiger des mélanges de différents types de caractères) pour les mots de passe.

⏩ CSP NE DOIVENT PAS exiger des utilisateurs qu'ils modifient périodiquement leurs mots de passe. Cependant, les vérificateurs DOIVENT forcer un changement s'il existe des preuves de compromission de l'authentificateur.

⏩ NE DOIVENT PAS permettre à l’abonné de stocker un indice accessible à un demandeur non authentifié.

⏩ CSP NE DOIVENT PAS inciter les abonnés à utiliser l'authentification basée sur les connaissances (par exemple, « Quel était le nom de votre premier animal de compagnie ? ») ou des questions de sécurité lors du choix des mots de passe.

⏩ DOIVENT vérifier l'intégralité du mot de passe soumis (c'est-à-dire ne pas le tronquer).

⚠ 𝑁𝐷𝐿𝑅: 𝐴 𝑛𝑜𝑡𝑒𝑟 𝑞𝑢'𝑒𝑛 2017 𝑙𝑎 𝐶𝑁𝐼𝐿 𝑟𝑒𝑐𝑜𝑚𝑚𝑎𝑛𝑑𝑎𝑖𝑡 𝑒𝑙𝑙𝑒 𝑑𝑒 𝑝𝑎𝑠𝑠𝑒𝑟 𝑎̀ 12 𝑐𝑎𝑟𝑎𝑐𝑡𝑒̀𝑟𝑒𝑠 𝑚𝑖𝑛𝑖𝑚𝑢𝑚.

Source :https://cybersecuritynews.com/nist-rules-password-security

Tu penses à qui ou quelle commune ou ville ?
Perso: y*p0ugon🤣😂🤣😂😮‍💨😮‍💨