Les développeurs de logiciels admettent avoir publié un code médiocre, des avertissements de produits de Palo Alto Networks et VMware, et plus encore.
Bienvenue dans Cyber Security Today. Nous sommes le vendredi 8 avril 2022. Je suis Howard Solomon, journaliste collaborateur sur la cybersécurité pour ITWorldCanada.com.
Chaque employé doivent faire leur part pour s’assurer que leur organisation est à l’abri de recevoir ou de permettre des cyberattaques. C’est particulièrement vrai pour les développeurs de logiciels. Cependant, une enquête menée auprès de 1 200 développeurs du monde entier pour une société appelée Secure Code Warriors suggère que d’autres choses les préoccupent. Lorsqu’on leur a demandé quelle était leur priorité dans l’exécution de leur travail, la qualité du code, les performances des applications et la résolution des problèmes du monde réel se classaient en premier, deuxième et troisième. Seuls 14 % des répondants ont déclaré que la sécurité des applications était leur priorité absolue. Soixante-sept pour cent ont admis qu’ils laissaient régulièrement des vulnérabilités et des exploits connus dans leur code avant d’être publiés. Pourquoi? Délais serrés, priorisation des fonctionnalités sur la sécurité, ou parce qu’ils n’avaient tout simplement pas la formation ou les connaissances requises sur la façon de résoudre les problèmes de sécurité.
Palo Alto Networks met en garde Les services informatiques qui utilisent des pare-feu utilisant son système d’exploitation PAN-OS, son application Global Protect et son agent Cortex XDR sont vulnérables à un bogue dans la bibliothèque OpenSSL. S’il est exploité, le trou peut faire en sorte que l’application soit victime d’une attaque par déni de service. Les mises à jour de sécurité seront disponibles au cours de la semaine du 18 avril. En attendant, les opérateurs disposant d’un abonnement à la prévention des menaces Palo Alto peuvent bloquer les attaques grâce à des mesures d’atténuation. Il y a un lien vers le document à ce sujet dans la version texte de ce podcast. Les produits Prisma Cloud et Cortex XSOAR ne sont pas concernés par cette vulnérabilité.
Entre-temps VMware a publié d’importantes mises à jour de sécurité pour Workspace One Access, Identity Manager, vRealize Automation, vRealize Suite Lifecycle Manager et VMware Cloud Foundation.
Une autre arnaque à la messagerie vocale bidon a été repéré. Les chercheurs en sécurité d’Armorblox affirment qu’un groupe de menaces envoie des e-mails avec une pièce jointe pour un supposé message vocal sécurisé sur WhatsApp. Lorsqu’un destinataire lance la lecture sur l’enregistrement, un logiciel malveillant est téléchargé. Il faut rappeler aux employés que les logiciels malveillants ne peuvent pas seulement se propager via des documents infectés, ils peuvent provenir de n’importe quel message avec une pièce jointe inattendue.
Responsables informatiques responsables de la protection des données des clients doivent savoir que les Canadiens en ont assez d’être escroqués en partie à cause du vol d’identité. Selon un sondage publié cette semaine par Interac, qui gère le réseau informatique utilisé par les sociétés de cartes de crédit, 78 % des répondants ont déclaré manquer d’informations sur la protection de leurs données d’identité en ligne. L’un des problèmes, selon Interac, est que les Canadiens ne font pas assez attention à leurs données en ligne, par exemple en étant trop ouverts sur les médias sociaux. Ils ne profitent pas non plus de l’authentification multifacteur offerte par les services en ligne qu’ils utilisent. Interac affirme que les entreprises ont un rôle à jouer dans la fourniture de solutions pour améliorer la sécurité des clients.
C’est tout pour le moment. Mais n’oubliez pas que plus tard dans la journée, le podcast Week in Review sortira. Les sujets d’aujourd’hui incluent les attaques de la chaîne d’approvisionnement et les exercices sur table.
N’oubliez pas que les liens vers des détails sur les histoires de podcast sont dans la version texte à ITWorldCanada.com.
Vous pouvez suivre Cyber Security Today sur Apple Podcasts, Google Podcasts ou nous ajouter à votre Flash Briefing sur votre haut-parleur intelligent.
