Le piratage éthique dans 50 universités a créé la panique chez les étudiants au Royaume-Uni

Par défaut

«Mission accomplie», c’est peut-être l’annonce que les hackers éthiques ont adressée à leurs clients, car ils ont été légalement chargés de «pirater» quelque 50 écoles au Royaume-Uni au moment où les étudiants eux-mêmes se sont plaints du «piratage» sur les médias sociaux. Héros méconnus du monde de la cybersécurité, les pirates de l’éthique n’ont eu besoin que de deux heures pour infiltrer certaines universités anonymes, au dégoût de leurs étudiants. La bonne nouvelle, c’est que le «piratage» a été fait de bonne foi, en toute connaissance de cause des responsables de l’université et ils ont été payés pour le faire. Aussi, connu sous le nom de test d’intrusion, c’est la meilleure méthode (mais pas la moins chère) pour comprendre les vulnérabilités d’une installation informatique ou d’un réseau, en permettant au piratage de se produire dans un environnement contrôlé afin de voir quels domaines nécessitent des améliorations.

Malheureusement, les installations informatiques universitaires et leurs réseaux respectifs, y compris le Wi-Fi interne, sont les plus faibles, voir même les plus faibles, dans tous les secteurs. Les pirates éthiques ont pu utiliser une combinaison d’exploitation de vulnérabilité et de tentatives d’hameçonnage afin d’infiltrer les systèmes. Au cours du test d’intrusion pour les 50 universités sans nom, un courriel spécial de phishing  a été utilisé pour attirer l’attention de certains membres du personnel des universités (seuls leurs hauts fonctionnaires ont été informés qu’un tel test était en cours). Les courriels ont été conçus pour simuler les logiciels malveillants de compte-gouttes, qui sont des virus informatiques conçus pour lancer d’autres logiciels malveillants dans le système une fois qu’ils ont obtenu le privilège d’exécution.

«Les cyberattaques sont de plus en plus sophistiquées et répandues et les universités ne peuvent se permettre de rester immobiles face à cette menace en constante évolution. Bien que la majorité des prestataires d’enseignement supérieur prennent ce problème au sérieux, nous ne sommes pas convaincus que toutes les universités britanniques disposent des connaissances, des compétences et des investissements adéquats en matière de cybersécurité. Pour éviter une brèche de données potentiellement désastreuse ou une panne de réseau, il est essentiel que tous les dirigeants universitaires sachent quelles mesures prendre pour mettre en place des défenses solides», a expliqué le Dr John Chapman, chef du Jisc Security Operations Center, qui a participé à l’événement des essais de pénétration.

Avec l’efficacité du piratage éthique, qui a amené les étudiants à se plaindre sur les médias sociaux signifie facilement une chose, le succès des tests de pénétration. Il a réussi à simuler un véritable incident de piratage, à tel point que les étudiants et le personnel des universités ont été pris au dépourvu, ouvrant la voie à un piratage éthique sans résistance. Il sensibilise aussi les étudiants et le personnel à la question d’une défense crédible en matière de cybersécurité que même les universités ont vraiment besoin d’avoir de nos jours.

«Les universités dépendent absolument de la connectivité pour remplir presque toutes leurs fonctions, de l’administration et des finances à l’enseignement et à la recherche. Ces activités génèrent d’énormes quantités de données, ce qui fait peser une lourde responsabilité sur les institutions, qui doivent assurer la sécurité des systèmes en ligne et des données qu’ils contiennent», a souligné le professeur David Maguire, vice-chancelier de l’Université de Greenwich et président du Jisc.

Les entreprises, y compris les écoles et les universités, doivent envisager de réaliser des tests d’intrusion pour leurs réseaux et ordinateurs. Ce genre d’activité doit être traité comme un investissement plutôt que comme un coût, car il n’y a rien de plus coûteux que d’essayer de se remettre d’un incident de violation de données et d’attaque informatique.

Microsoft publie les premières versions d’aperçu du navigateur Edge

Par défaut

Microsoft a publié les premières versions en avant-première de son navigateur Edge basé sur Chromium.

La sortie des premières versions de Canary and Developer, qui pourront être téléchargées sur les PC Windows 10, marque la prochaine étape dans le parcours de Microsoft vers l’adoption du projet open source Chromium pour développer son navigateur Edge sur le bureau.

Dans un article de blog daté du 8 avril 2019, Joe Belfiore, Corporate Vice President, Windows, déclare : «En décembre, nous avons annoncé notre intention d’adopter le projet open source Chromium pour le développement de Microsoft Edge sur le bureau. Notre objectif est de travailler avec l’ensemble de la communauté Chromium Open Source afin de créer une meilleure compatibilité web pour nos clients et moins de fragmentation du web pour tous les développeurs web… Aujourd’hui, nous entamons la prochaine étape de ce voyage – nos premières versions Canary et Developer sont disponibles en téléchargement sur Windows 10 PCs.»

Alors que les versions Canary seraient mises à jour quotidiennement, les versions Developer auraient des mises à jour hebdomadaires à venir. Microsoft introduirait les versions bêta plus tard et apporterait finalement la prise en charge de Mac et d’autres versions prises en charge de Windows également.

Dans un autre article de blog, l’équipe Microsoft Edge Team explique les choses plus en détail. L’article du blog dit : «Chaque nuit, nous produisons une version de Microsoft Edge – si elle passe les tests automatisés, nous la publierons sur le canal des Canaries. Nous utilisons ce même canal en interne pour valider les corrections de bugs et tester de nouvelles fonctionnalités. Le canal des Canaries est vraiment le bord du gouffre, vous pouvez donc découvrir des bugs avant que nous ayons eu l’occasion de les découvrir et de les corriger. Si vous êtes avide des dernières nouvelles et que ça ne vous dérange pas de risquer un bug ou deux, c’est la chaîne qu’il vous faut.»

«Si vous préférez une compilation avec un peu plus de tests, vous pourriez être intéressé par le canal Dev. Le canal Dev est encore relativement frais – c’est le meilleur build de la semaine sur le canal des Canaries. Nous examinons plusieurs sources, comme les commentaires des utilisateurs, les résultats de tests automatisés, les mesures de performance et la télémétrie, pour choisir le bon Canari à construire pour promouvoir au canal Dev. Si vous souhaitez utiliser la dernière version de développement de Microsoft Edge comme pilote quotidien, ce canal est fait pour vous. Nous nous attendons à ce que la plupart des utilisateurs soient sur le canal Dev», poursuit le blog.

Ces deux versions de prévisualisation peuvent être installées à côté de l’ancien navigateur Edge et l’une à côté de l’autre pour les tests. Les versions de test du navigateur Edge ne sont actuellement disponibles que pour Windows 10 64 bits et prennent en charge les extensions Microsoft et Google Chrome.

Microsoft avait publié le navigateur Edge modernisé il y a plus de trois ans, afin de retrouver sa popularité dans le domaine des navigateurs Internet> Les résultats n’étaient cependant pas très satisfaisants et c’est pourquoi, en décembre dernier, Microsoft a annoncé son intention de reconstruire le navigateur Edge en utilisant le moteur de rendu Blink utilisé par Chromium, plutôt que son moteur EdgeHTML.

Chromium, le projet de navigateur Web open-source géré par Google, alimente de nombreux autres navigateurs tiers ainsi que Opera, Brave, Vivaldi, etc. Microsoft a déjà travaillé avec Google dans le but faire avancer Chromium. Le navigateur Microsoft Edge sur Android et iOS utilise le moteur de rendu Chromium. Dans son article de blog, Joe Belfiore, vice-président de Microsoft, déclare : «Dans ces premières versions, nous sommes très concentrés sur les fondamentaux et n’avons pas encore inclus un large éventail de fonctionnalités et de support linguistique qui viendront plus tard».

«En plus de ce qui est visible dans le navigateur lui-même, nous avons également commencé à apporter des contributions au projet open source Chromium. Il s’agit entre autres de domaines tels que l’accessibilité, le toucher, l’ARM64 et d’autres. Nous travaillons directement avec les équipes de Google et l’ensemble de la communauté Chromium sur ce travail et nous apprécions la collaboration et les discussions ouvertes. Nous sommes impatients de poursuivre notre engagement avec la communauté pour faire progresser Chromium dans ces domaines et dans d’autres», ajoute Joe Belfiore.

AMD ordinateurs portables de qualité Ryzen Pro puces semblent prêts à donner à Intel un mal de tête

Par défaut

Attendez-vous à ce que les nouvelles tranches de silicium apparaissent dans les ordinateurs portables ultra-fins.

AMD A RETRAVAILLÉ ses puces Ryzen et Athlon afin cibler les ordinateurs portables minces en vue d’une utilisation professionnelle.

En tête de cette deuxième génération de puces mobiles Pro Ryzen, le Ryzen 7 Pro 3700U, une puce quad-core à huit fils qui fonctionne de 2,3 GHz à 4 GHz à pleine puissance, est couplé à un GPU Radeon Vega 10. Pour faire simple, c’est une unité de procession accélérée AMD (APU) ayant un processeur décent et des coupures graphiques sur une seule puce.

Le Ryzen 5 Pro 3500U fait de même, offrant le même nombre de noyaux et de filetages, ne fonctionnant qu’à 2,1 GHz à 3,7 GHz, et arborant un Radeon Vega 8.

Au bas de l’écran se trouve le Ryzen 3 Pro 3300U, une puce quad-core à quatre fils avec graphiques Radeon Vega 6 ; il fonctionne de 2,1 GHz à 3,7 GHz.

Derrière la gamme Ryzen Pro se cache l’Athlon Pro 300U, une puce double cœur à quatre fils qui fonctionne de 2,4 GHz à 3,3 GHz. Ce n’est pas du tout un moteur sur papier, mais il se révèle plus que capable d’accomplir des tâches de niveau professionnel.

Ces puces sont toutes destinées à être utilisées dans des ordinateurs portables de qualité professionnelle ultra-moderne, étant donné qu’elles fonctionnent avec une puissance de conception thermique de 15W. Attendez-vous donc à ce qu’ils apparaissent dans des machines tel que Lenovo et HP.

Les puces devraient offrir une alternative décente pour les ordinateurs portables qui combinent des processeurs Intel et des graphiques Nvidia. Et étant donné comment AMD peut être assez agressif avec ses prix, les puces pourraient finir dans les ordinateurs portables qui sous-évaluent ceux avec Intel et Nvidia configurations puce.

Team Red a aussi comparé ses puces Ryzen Pro aux processeurs Intel U-series Core, AMD notant que ses processeurs battaient les puces équivalentes de son rival.

Étant donné qu’AMD réalise les tests, ce n’est pas étonnant. Et Team Red a fait remarquer que les processeurs Core de la série U ont été pris en compte dans la modélisation et la visualisation 3D pour l’édition de photos, un domaine où les puces AMD ont toujours bien fonctionné.

Nous aurions besoin de voir des tests indépendants et vérifiés avant de nous faire nos propres opinions sur la qualité réelle des processeurs mobiles d’AMD. Mais les puces semblent garantir d’assez bonnes performances pour les ordinateurs portables.

Avec les graphiques intégrés de Vega, AMD vante les nouveaux processus Ryzen comme ayant de meilleures performances graphiques que les processeurs Intel Core.

Donc, si vous êtes à la recherche d’un ordinateur portable capable de gérer les tâches informatiques quotidiennes et de pousser quelques pixels pour, disons, un peu d’Overwatch à l’heure du déjeuner, il peut être intéressant d’attendre la première vague de machines avec les puces Ryzen Pro de deuxième génération.

En eux Bref, AMD semble apporter une touche finale aux activités d’Intel en matière de fabrication de puces pour le monde de l’ordinateur portable.

Cela dit, les deux entreprises ont toujours leur lien Core et Vega, ce qui donne des résultats assez impressionnants et constitue un bon argument afin que leurs rivaux travaillent ensemble.

Un logiciel espion Exodus abuse des certificats d’entreprise d’Apple pour se faufiler sur iOS

Par défaut

Le CERTIFICAT D’ENTREPRISE D’APPLE a une fois de plus fait l’objet d’abus avec des logiciels espions suceurs de données qui se sont faufilés sur des périphériques iOS via une faille centrée sur l’entreprise.

Des chercheurs de la société de cybersécurité Lookout ont découvert qu’une application nommée «Assistenza SIM» a abusé du certificat d’entrepris afin de l’installer sur les iPhones et les iPads sans avoir besoin de passer par l’App Store hautement sécurisé.

Alors qu’Assistenza SIM promettait de servir de ligne d’assistance pour que les utilisateurs puissent contacter leurs opérateurs mobiles en Italie et au Turkménistan, il s’agissait en réalité d’un logiciel espion déguisé développé par Connexxa.

Une fois sur un appareil iOS, le logiciel espion peut récupérer les détails du contrat, les photos, les vidéos, l’emplacement en temps réel des utilisateurs et même les enregistrements audio de l’iThing infecté.

En temps normal, Apple surveille très soigneusement les portes de l’iOS. Mais son programme de certificats d’entreprise permet aux développeurs de distribuer des applications internes personnalisées au sein d’une entreprise sans avoir besoin de passer par l’App Store. Cela aide sans doute à rendre les iPhones et les iPads encore plus centrés sur les gadgets d’entreprise, mais le programme peut être utilisé à mauvais escient avec des applications d’entreprise distribuées aux consommateurs, plutôt que conservées pour le seul usage interne de l’entreprise.

Alors qu’Apple a retiré le certificat d’entreprise de l’application incriminée, ce qui l’a empêché de s’exécuter, cela souligne le fait que l’entreprise doit peut-être mieux contrôler la façon dont elle répartit ces certificats entre les développeurs qui pourraient ne pas être aussi enthousiastes qu’ils le disent afin de produire des applications légitimes

Mais ce n’est pas la première fois que le spyware apparemment connecté à Connexxa est apparu. Sur Android, les logiciels espions se présentaient sous la forme d’un code malveillant nommé Exodus, qui a été développé par une société appelée eSurv, dont le PDG est également le fondateur de Connexxa.

Sur Android, les logiciels espions se sont introduits dans la boutique Google Play Store en se cachant derrière des applications légitimes, dont l’une s’appelait Assistenza Linea… Cela semble familier, presque trop connue pour être une coïncidence.

Quelles que soient les origines, tout cela souligne à quel point les logiciels espions et leurs développeurs peuvent être sournois et qu’il peut être nécessaire d’augmenter les niveaux de sécurité autour du développement d’applications Android et iOS pour tenir à distance les nuisances numériques.