GitHub annonce la disponibilité de la prise en charge des paquets Python. Les utilisateurs de Python peuvent accéder au graphique des dépendances et recevoir des alertes de sécurité lorsque leurs dépôts dépendent de paquets présentant des failles de sécurité connues.
Cette nouvelle offre est lancée sur la base de vulnérabilités récentes. Néanmoins, au cours des semaines à venir, la base de données sera mise à jour d’autres vulnérabilités Python plus anciennes, et également alimentée de nouvelles vulnérabilités, publiées dans les paquets Python. Le mode d’emploi est simple. Il faut d’abord valider un fichier prénommé requirements.txt ou Pipfile.lock à l’intérieur des dépôts contenant un code Python. Dans les dépôts publics, le graphique de dépendance et les alertes de sécurité seront automatiquement activés.
En ce qui concerne les dépôts privés : la demande d’alertes de sécurité devra être validée (opt-in) dans les paramètres du dépôt ou alors, l’accès autorisé dans la section « graphique des dépendances » de l’onglet « Insights ». Une fois cette fonction activée, les administrateurs recevront des alertes de sécurité par défaut. Il est également possible d’ajouter des équipes ou des individus en tant que destinataires des alertes de sécurité en se rendant à la page « Settings », onglet « Alerts », de leur référentiel. Pour configurer le type ou la fréquence des notifications, l’utilisateur doit se rendre sur la page des paramètres de notification de son profil et sélectionner l’option de son choix.
GitHub aide les individus à créer des logiciels. Des millions de développeurs et d’organisations dans le monde utilisent GitHub pour découvrir, partager et contribuer à des projets – des jeux, tests, aux systèmes et applications les plus populaires. GitHub permet de définir la manière dont les logiciels sont aujourd’hui créés. Que vous utilisiez GitHub.com ou GitHub Enterprise sur vos propres serveurs, vous pouvez accéder à l’une des plus grandes communautés de développeurs du monde pour créer des logiciels de la manière la plus fonctionnelle pour vous.
Une nouvelle possibilité qui permet aux amateurs de Python de sécuriser encore mieux leurs créations. De véritables réseaux professionnels comme il est de plus en plus fréquent d’en croiser, comme via le site d’emploi en informatique, LesJeudis.com
Pendant ce temps, sur le web
Les pirates informatiques changent de méthodes et passent progressivement de tactiques de monétisation du cybercrime – telles que les attaques par ransomware et le vol de cartes de crédit – à une nouvelle lignée de malwares : les crypto-mineurs. Ces derniers prennent le contrôle des ressources d’un ordinateur et les utilisent pour le minage illégal de crypto-monnaies. Celles-ci sont attrayantes pour les Pirates, mettant à mal les réseaux et leur sécurité, en raison de la fortune qu’elles permettent de générer et du moindre risque, comparé aux ransomware, grâce au fait qu’elles fonctionnent silencieusement en arrière-plan.
L’éditeur CyberArk, vient de publier une analyse approfondie sur le malware de crypto-minage. Le rapport se concentre sur cette tendance émergente, dissèque l’anatomie du virus mineur XMRig, et examine la technologie qui se cache derrière Monero et ce qui en fait une crypto-monnaie si populaire auprès des attaquants. Spécialisée dans la simulation d’attaques malveillantes, l’équipe Red Team de CyberArk Red a conduit cette recherche pour comprendre comment les crypto-mineurs sont créés et exécutés, et surtout comment s’en protéger.
World cup 2018, 2022 …
Cette Coupe du Monde de football est déjà considérée comme étant l’une des meilleures de la FIFA. Si la Russie a fait le nécessaire pour que la compétition se déroule dans des conditions optimales et en toute sécurité, le danger reste toutefois bien présent en ligne. La FIFA a en effet alerté sur le risque de fraude par email en lien avec l’évènement, avec des pirates cherchant à piéger des internautes pour récupérer leurs données personnelles ou financières. Mais les fans de football ne sont pas les seuls visés puisque des entreprises du secteur du voyage et des jeux et paris en ligne ont également été la cible des cybercriminels. Carine Cartaud, Directeur France et Europe du Sud, chez ThreatMetrix, spécialiste de l’identité numérique, confirme cette tendance en revenant sur les pics de tentatives de fraude enregistrés dans ces secteurs : « Les sociétés de jeux et paris en ligne ont été touchées par une forte hausse des transactions en provenance de Russie, en particulier sur mobile, avec une croissance de volume de 850 %. Dans le cadre de la Coupe du Monde, nous avons détecté une série d’attaques de bot sur des entreprises de paris en ligne. Les pirates ont effet voulu profiter du pic de transactions pour tester le système de défense de ces organisations et mener des attaques automatisées à grande échelle. Par exemple, pour l’une des plus grandes enseignes européennes de paris en ligne, au moment du pic, les attaques de bots ont représenté 40 % du trafic quotidien ».
Une grande enseigne du secteur du voyage a par ailleurs enregistré des changements importants depuis le début du mois d’avril, avec une croissance de 20 % du volume des transactions, accompagnée d’une augmentation de 46 % des attaques. La hausse du nombre de fraudes a ainsi été nettement supérieure à celle des transactions, ce qui montre que ce secteur est bel et bien une cible privilégiée des pirates. Alors que les organisations dédiées au voyage investissent dans des stratégies digitales pour réduire les frictions et optimiser les taux de conversion, il est important qu’elles considèrent le déploiement de technologies permettant de prévenir les fraudes. Celles-ci doivent être transparentes pour les consommateurs, sans que ces derniers n’aient à effectuer la moindre démarche supplémentaire au moment du paiement, par exemple.
Par ailleurs, l’usurpation d’identité est le principal vecteur d’attaque que nous avons identifié pour ces entreprises victimes. Les cybercriminels cherchent en effet à utiliser les identifiants volés pour créer de faux comptes, effectuer des paiements frauduleux et prendre le contrôle de comptes existants, qui regorgent bien souvent d’informations personnelles et de coordonnées bancaires.
Les entreprises, qui connaissent des volumes de transactions en ligne saisonniers élevés, ont besoin d’un moyen précis et efficace de détecter les comportements anormaux à partir d’attaques automatisées, sans pour autant ralentir les performances et impacter les consommateurs légitimes. Les fraudeurs sont essentiellement des opportunistes, toutefois, leurs techniques restent sophistiquées. Ils exploitent en effet des réseaux cybercriminels au niveau mondial pour mener des attaques bien organisées et réfléchies, sur des zones présentant, selon eux, un niveau de vulnérabilité supérieur à la moyenne, à l’instar des secteurs du voyage et des jeux et paris en ligne, depuis le début de la Coupe du Monde. Cependant, en déployant les technologies adéquates, toutes les entreprises digitales peuvent rester concentrées sur l’action en cours sur le terrain, et non sur les pics de fraudes.