Cross Site Request Forgery est aussi connu sous l'abbréviation CSRF. Le CSRF exploite un site web pour lequel des commandes non autorisées sont transmises par un utilisateur en qui le site web à confiance...

Vous trouverez la suite de cet article sur http://prox-ia.blogspot.com/2009/10/cross-site-request-forgery-par-limage.html

Bonjour,

Je vous informe de la formation inter-entreprises sur la Garde A Vue (GAV) que François Beauchène de Parthenia et moi-même donnons le 19 Novembre 2009.

Le nombre de GAV a plus que doublé en 4 ans. Personne n'est à l'abri.

En particulier, tous les dirigeants et leurs équipes savent qu'ils y sont tôt ou tard exposés, au point qu'avoir traversé une GAV fait presque partie du bizutage obligatoire et des "lettres de noblesse" de tout dirigeant qui a un peu d'expérience et une société en croissance.

L'actualité récente montre que les personnalités et les journalistes y sont aussi particulièrement exposés.

Les Experts comptables et Commissaires aux comptes font aussi partie des populations de dirigeants de plus en plus concernés et inquiets à l'idée d'avoir à affronter une telle épreuve. Au point que leurs instances représentatives ont du mal à subvenir à la demande de formation dans ce domaine.

Il est vrai que la GAV est une expérience si éprouvante pour le dirigeant qui la subit qu'elle peut ...

Dans cet article nous allons voir comment créer des PDFs malveillants en utilisant Origami. Origami est un ensemble d'outils en Ruby permettant d'analyser et de forger des documents PDF.

La vidéo ci-dessous décrit succintement comment utiliser Origami pour forger un PDF malveillant
...

Vous trouverez la suite de cet article sur:

http://prox-ia.blogspot.com/2009/09/forger-des-pdfs-malveillants-avec.html

Le mois de Juillet et le mois d'Août ont été marqués par la publication de plus de 800 nouvelles vulnérabilités. Les solutions les plus connues ont

malheureusement elles aussi été impactées, plus ou moins lourdement. Ci-dessous, vous trouverez un récapitulatif des failles les plus importantes:


28 Août : OpenOffice.org Word Document Table Parsing Vulnerabilities
Solution : Update en version 3.1.1

25 Août : WordPress WP-Syntax Plugin Code Execution Vulnerability
Solution : Effacer le répertoire wp-syntax/test

12 Août : Sun Solaris Adobe Reader and Acrobat Multiple Vulnerabilities
Solution : Aucune à la date de publication

12 Août : IBM Network Authentication Service Multiple Vulnerabilities
Solution : Développement d'un patch par l'éditeur

11 Août : Microsoft Remote Desktop Connection
Solution : Développement d'un patch par l'éditeur

05 Août : Sun Java JDK / JRE
Solution : Développement d'un patch par l'éditeur

04 Août : Mozilla Thunderbird / SeaMonkey Network Security Services
Solution ...

Rapport de criminologie virtuelle McAfee: CYBERCRIMINALITÉ ET LÉGISLATION DU CYBERESPACE

Une lecture toujours pleine d'enseignements:

http://www.mcafee.com/fr/local_content/reports/virtual_criminology_report/index.html

En complément d'un message d'Alain, il faut bien garder à l'esprit qu'un espace personnel dans un réseau social n'est pas un coffre fort (aussi bien l'enveloppe que le contenu).

Le Social Engineering reprend du poil de la bête..... et de manière beaucoup plus virtuel donc facile et pratique.

Pour rappel:

FaceBook vient de corriger une faille qui permettait de rentrer dans la vie privée de ses abonnés et ce, 3 semaines après l´alerte.
Cette faille a été prise au sérieux chez Facebook après que des fans publient les informations de Mark Zuckerberg.

Par contre les autres failles découvertes par un WhiteHat ne semblent pas avoir été corrigées ou trouvées... seul problème, elles lui ont permis de récupérer un énorme fichier de comptes....
Zataz a publié une liste de 4000 pseudo, si vous êtes dedans.... changez de mot de passe... url à fouiller : http://www.zataz.com/news/19156/facebook--id-profil--crack.html

Dans la même série semble t'il, le cas de Twitter.... et là c'est du grand "social engineering" ...

Pour ma première intervention dans ce groupe, je vous propose de lire ce très bonne article sur les menaces intérieures qui minent nos réseaux d'entreprises.

http://blogs.orange-business.com/securite/2009/05/securite-en-entreprise-la-menace-vient-de-l-int%C3%A9rieur.html

Vous connaissez tous Webgoat, le site web permettant de faire des tests de pénétration fournit par l'OWASP.

Et vous savez également tous que les solutions des exercices de pénétration proposés par Webgoat se trouvent à l'adresse suivante: http://yehg.net/lab/pr0js/training/webgoat.php

Et comme moi, il ne vous a pas échappé que certains exercices n'étaient pas corrigés. C'est en particulier le cas du challenge proposé par Webgoat 5.2.

C'est pourquoi je vous propose de vous donner la solution du challenge avec l'aide d'une vidéo...

Vous trouverez la suite de cet article sur http://prox-ia.blogspot.com/2009/05/challenge-webgoat-52-la-solution-en.html

INFOSECURITY et STORAGE Expo FRANCE
Du mercredi 19 novembre 2008 au jeudi 20 novembre 2008-
Paris Porte de Versailles

Evènements de références sur les marchés de la sécurité
Informatique et du stockage de données, Infosecurity et
Storage expo vous propose de participer à des
conférences solutions en accès libres, des évènements
associés dédiés aux nouvelles technologies mais aussi
rencontrer vos fournisseurs, de concrétiser vos
projets.

Demandez dès à présent votre badge et organiser votre
visite!
www.infosecurity.com.fr ou www.storage-expo.fr


POUR PLUS DE RENSEIGNEMENTS:

Votre contact:

Alexandra COLBEAU
Responsable commerciale
Salon INFOSECURITY et STORAGE EXPO 2008
TEL: 01 47 56 65 44
alexandra.colbeau@reedexpo.fr

www.infosecurity.com.fr
www.storage-expo.fr

>Il ne vous reste peu de temps pour vous inscrire aux
>journées francophones de l'investigation numérique qui
>se tiendront du 03 au 05 septembre 2008 à
>Vandœuvre-lès-Nancy.

>Programme prévisionnel
>A la date du 11 06 2008

>Le programme décrit ci-dessous est prévisionnel.
>N'hésitez pas à nous contacter pour proposer une
>conférence !

>Le programme sera centré autour de plus de vingt
>conférences. Des exposants seront présents durant
>l'intégralité des journées 2008 et vous accueilleront
>pendant les pauses café et déjeuner.

>3 septembre 2008 - Journée d'introduction

> * 09:00-10:00 Accueil des participants
> * 10:00-11:00 Discours officiels, mot du président
> * 11:00-11:30 Le point de vue du juge : son
>attente
>des investigations policières et des rapports
>d'expertise, Madame THOUZEAU (VP au TGI de Metz, FR)
> * 11:30-12:00 Réponse policière Belge, Gérald
>Degroote (RCCU Bruxelles, BE)
> * 12:00-13:00 Dématérialisation dans la procédure
>pénale, Madame GANASCIA ...

quel est l’objectif des pirates informatiques ?


Des systèmes d’information français ont été victimes d’attaques informatiques, avec « passage par la Chine », comme l’ont été des services officiels américains et allemands, selon Francis Delon, secrétaire général de la défense nationale. Le Pentagone a reconnu avoir été la cible de telles attaques cet été. Des informations avaient alors fait état d’une tentative de piratage par des militaires chinois. La Chine a démenti, jeudi dernier, être à l’origine de cyber-attaques. Pour Paulo Pinto, spécialiste de la sécurité informatique, leurs conséquences sont à relativiser, les États ayant appris à s’en protéger.

Paulo Pinto
Directeur technique chez Sysdream, cabinet d’audit en sécurité informatique

« Chaque jour, tous les pays subissent des attaques informatiques. Elles existent depuis des années. Seulement, les médias en parlent davantage. En s’en prenant à des sites ministériels, leurs auteurs peuvent chercher à avoir accès à des informations sensibles. ...

EC-COUNCIL | BREAKING NEWS
MAY 2008

Greetings!
EC-COUNCIL TO AWARD TOP PERFORMERS @ HACKER HALTED USA 2008

EC-Council is proud to award the most outstanding Accredited Training Centres (ATCs) and Certified EC-Council Instructors (CEIs) who have performed extraordinarily in the past year. The award ceremony will be held at Hacker Halted USA 2008, exclusively on June 2, at the EC-Council Dinner cum "Net-Rocking Night."

The selected few were chosen based on their merits and training track record in delivering EC-Council programs. They have shown exceptional performance, commitment, dedication and have pro-actively promoted EC-Council and its programs to their customers.

The winners received rave reviews from customers on their impeccable training delivery and outstanding quality of service. The winning Accredited Training Centers and instructors represent some of the best EC-Council centers internationally.

"We would like to express our sincere thanks to our partners who have stood by us ...

Infosecurity et Storage Expo France, salon leader de la sécurité des systèmes d’information et du stockage de données, ouvrira ses portes le 19 et 20 Novembre 2008 au Parc des Expositions de la Porte de Versailles.

3 BONNES RAISONS POUR EXPOSER SUR INFOSECURITY et STORAGE Expo France !

- RENCONTREZ UN VISITORAT RESOLUMENT GRANDS COMPTES

INFOSECURITY et STORAGE Expo FRANCE ont su s'imposer comme les évènements de référence sur le marché de la Sécurité Informatique et du Stockage de données. Attirant un visitorat toujours plus qualifié et issu de grandes entreprises, ils sont devenus le carrefour stratégique de l'offre et de la demande.

- REJOIGNEZ LES ACTEURS MAJEURS DU MARCHE

Les exposants d'INFOSECURITY et STORAGE Expo bénéficient de la plus grande vitrine Française pour la mise en avant de leurs produits er de leurs services.
Vous êtes éditeurs de solutions informatiques,constructeurs, Sociétés de conseils,prestataires de services, distributeurs? Vous cherchez à faire connaître votre société, ...

Dans une optique de sensibilisation des risques liés aux nouvelles technologies,la société SYSDREAM renforce sa position d'entreprise de référence sur le marché du piratage éthique.

Afin appuyer notre volonté de développement, nous avons signer en partenariat avec la société Ec Council toute une gamme de Certification allant du management d'audit d'infrastructure aux enquêtes informatique liés à la cybercriminalité.

Pour plus d'informations concernant les modules de certification, je vous donne rendez vous sur le HUB Certification informatique. CEH, ECSA-LPT, CWSP, CISSP, CHFI, CISCO

Ou bien sur www.sysdream.com

Bonne lecture


Charles- Alexandre DIDIER
Responsable Commercial pôle Formation S.I
SYSDREAM : www.sysdream.com
4, impasse de la gendarmerie
93400 Saint Ouen
a.didier@sysdream.com
Tel: + 33 1 40 10 05 41
Gsm : + 33 6 14 95 04 50
Fax: + 33 1 40 10 27 69

Bonjour à tous,

si vous souhaitez connaître la valeur de salaire que représente les différentes certifications informatique, je vous donne RDV sur mon HUB :

Certification informatique. CEH, ECSA-LPT, CWSP, CISSP, CHFI, CISCO


Alexandre DIDIER
Responsable Commercial pôle Formation S.I
SYSDREAM : www.sysdream.com
4, impasse de la gendarmerie
93400 Saint Ouen
a.didier@sysdream.com
Tel: + 33 1 40 10 05 41
Gsm : + 33 6 14 95 04 50
Fax: + 33 1 40 10 27 69