Un autre mois s'est écoulé, et nous sommes ici pour récapituler ce qui s'est passé en termes de sécurité en ligne et numérique ! Cette fois, nous revenons sur ce qui s'est passé en juillet dans l'espoir que cela conduira à un été plus sûr et mieux informé pour nous tous. Lisez la suite pour voir quelles histoires nous ont semblé les plus importantes au cours des quatre dernières semaines.
Signature de code en tant que service avec eSigner
Besoin d'un aperçu de ce que SSL.com offre en termes de signature de code, y compris notre nouveau e-signataire service de signature en nuage ? Découvrez le nouvel article de Giannis Naziridis, eSigner : signature de code en tant que service, qui fait exactement cela. En particulier, l'article met en évidence les avantages d'eSigner pour les développeurs qui souhaitent pouvoir signer du code à partir de n'importe quel ordinateur connecté à Internet sans avoir besoin de jetons USB, de HSM ou de connaissances spécialisées de PKI. eSigner permet également aux développeurs de partager facilement des certificats de signature de code avec les membres de l'équipe.
Firefox déploie DoH par défaut au Canada
Début juillet, le blog Mozilla a annoncé que Firefox étendra bientôt par défaut DNS sur HTTPS aux utilisateurs canadiens. Le navigateur s'associera à l'Autorité canadienne pour les enregistrements Internet afin d'atteindre un objectif de DoH par défaut pour tous les utilisateurs canadiens de Firefox.
Comme nous l'avons écrit avant, le passage à DoH par défaut prend de l'ampleur. Firefox l'a adopté pour les utilisateurs américains en Février 2020, et en Juin 2020 Comcast a rejoint l'initiative Mozilla pour adopter la norme. Du blog:
Depuis 2018, Mozilla, CIRA et d'autres intervenants de l'industrie travaillent au développement, à la normalisation et au déploiement d'une technologie appelée DNS sur HTTPS (ou DoH). DoH aide à protéger l'activité de navigation contre l'interception, la manipulation et la collecte au milieu du réseau en cryptant les données DNS.
Comme le note également le blog, le cryptage des données avec DoH n'est qu'une première étape. Oui, DoH crypte les informations DNS et empêche d'espionner les sites Web que les gens visitent, mais Mozilla encourage les entreprises qui gèrent les données DNS à suivre des règles comme celles énoncées dans son Programme Trusted Recursive Resolver.
Chrome 92 améliore sa détection de phishing
Le blog de chrome apporte la parole qui phishing la détection par Chrome est désormais plus rapide et plus efficace que jamais. Cela ressemble à un blog typique de l'industrie, certes, mais la raison pour laquelle la détection de phishing du navigateur s'est améliorée est assez intéressante. Chrome 92 analyse désormais rapidement les schémas de couleurs des sites pour les faire correspondre aux sites d'hameçonnage connus, accélérant la détection d'un facteur 50.
Le blog note également qu'en plus des vitesses plus rapides, le processus utilisé pour détecter les sites de phishing est devenu plus efficace. Pour des raisons de confidentialité, les calculs sont effectués sur les machines des utilisateurs. Les améliorations de Chrome sont une bonne nouvelle pour les batteries d'ordinateurs portables, avec une réduction estimée de 1.2% du temps CPU total utilisé par les processus de rendu et d'utilitaire du navigateur.
Microsoft : le nouvel attaquant de SolarWinds cible les routeurs grand public
Une nouvelle attaque contre les assiégés SolarWinds a récemment été attribuée à un groupe chinois par Microsoft, qui a publié détails de l'attaque. Simon Sharwood de Le registre fait un travail admirable de briser la situation. Dans son rapport, Microsoft note que le groupe responsable de l'attaque, qui a permis aux attaquants d'exécuter du code, d'installer des programmes et de modifier des données sur des cibles "a été observé en utilisant des solutions VPN commerciales et des routeurs grand public compromis dans leur infrastructure d'attaquant". Le Inscription l'article continue :
La mention des routeurs grand public est notable, car les vendeurs de tels appareils sont souvent inutilement détendus en matière de sécurité et rendent rarement leurs machines faciles à mettre à niveau ou conseillent lorsqu'une mise à jour est nécessaire. Les FAI, qui fournissent souvent de tels appareils aux utilisateurs, offrent également rarement des conseils de mise à jour.
Bien qu'il y ait beaucoup de détails sur l'attaque, nous convenons que cela est notable. Les routeurs et les Internet des Objets (IoT) en général, sont de plus en plus devenus un point d'entrée pour les méchants dans tout, des systèmes domestiques aux entreprises géantes.
- SSL /TLS Automatisation pour l'Internet des objets (IoT)
- SSL /TLS Automatisation de l'IoT avec ACME
- Sécuriser l'Internet des objets (IoT) avec SSL /TLS
- La loi sur l'amélioration de la cybersécurité de l'IoT de 2020, les certificats numériques et PKI
- Solutions IoT conformes à la norme HIPAA
- Authentification des utilisateurs et des appareils IoT avec Mutual TLS
