Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 241 à 250.
| < Les 10 documents précédents | Les 10 documents suivants > |
(24/10/2011 09:56:36)
Le ministère de l'Intérieur avertit les acteurs des télécoms sur la sécurité
Il y a quinze jours, le Ministère de l'Intérieur a convoqué les responsables de plusieurs associations françaises de professionnels des télécoms. Objectif : lutter contre le piratage des entreprises, devenu de plus en plus facile. Les pirates sont des experts, mais surtout les PME françaises n'observent pas un minimum de règles de sécurité. C'est ce dernier point qui doit être travaillé.
Sur le salon IP Convergence, de nombreux cas étaient cités. Par exemple celui d'une PME francilienne. Entre Noël et le jour de l'an, elle était fermée. Des pirates ont très facilement pénétré le système d'information, en utilisant la messagerie. Bilan : 70 000 euros perdus.
Piratage de lignes téléphoniques pour appels internationaux
Autre cas, très fréquent, celui du piratage des connexions téléphoniques à l'international. Là encore avec de belles factures à la clé. « Dans les audits d'entreprises, on trouve encore des locaux de gardiens avec des téléphones fixes et la possibilité de communiquer à l'international », lance Guy Têtu, délégué général de la Ficome.
La Place Beauvau souhaite mobiliser la profession des télécoms pour inciter les PME françaises à adopter des procédures et des plans de vigilance contre le piratage de leurs messageries ou de leurs abonnements téléphoniques.
La recherche web cryptée activée par défaut dans Gmail
Dans les semaines à venir, les utilisateurs accédant au site de recherche Google via Gmail bénéficieront de requêtes de recherche et de pages de résultats chiffrées (HTTPS), ce qui les mettra à l'abri des regards indiscrets, même s'ils utilisent des canaux non sécurisés. « Cette fonction a toute son importance, particulièrement lors de connexions Internet non sécurisées, comme c'est le cas avec les hotspots WiFi accessibles dans les cybercafés par exemple », a déclaré Google, qui a annoncé cette mise à jour de manière très brève sur un blog officiel. Google ne le mentionne pas, mais l'utilisation du SSL permettra également de cacher les recherches aux FAI.
À ce jour, peu d'utilisateurs ont entendu parler de l'option de recherche SSL activable manuellement, et n'ont sans doute pas non plus encore pris en compte tous les risques de sécurité pouvant survenir dans les recherches effectuées sur la Toile à partir d'un terminal mobile. Désormais, s'ils utilisent Gmail et s'ils sont connectés avec leurs identifiants, les utilisateurs profiteront de cette nouvelle couche de sécurité quand ils effectuent leurs recherches. Cette petite mise à niveau aura probablement un impact plus significatif pour les webmasters, puisqu'ils recevront moins de données à partir des requêtes effectuées en mode de recherche crypté qu'en mode non-SSL. Quant à ceux qui craignent de perdre une certaine visibilité sur les centres d'intérêt des utilisateurs, Google les invite à utiliser son système Webmaster Tools qui permet de voir les 1 000 premières requêtes de recherche effectuées sur un site donné.
Mise à niveau des équipements
Le SSL a mis du temps à se généraliser. Introduit sur Gmail en option depuis juillet 2008, le cryptage a finalement été proposé en activation manuelle par défaut depuis janvier 2010 en passant par le site https://encrypted.google.com. Twitter a commencé à utiliser le SSL par défaut il y a quelques semaines seulement (et il semble que le processus ne soit pas achevé pour tout le monde). Quant à Facebook, le réseau social l'a offert en option, à ceux qui sont soucieux de la sécurité, plus tôt cette année. Alors, si le SSL est aussi utile pour la sécurité des données échangées, pourquoi ne pas l'activer simplement par défaut pour tous et au même moment ? Le SSL ajoute une surcharge en ouvrant un tunnel entre le serveur et l'utilisateur, qui risque aussi d'ajouter du temps de latence pour l'utilisateur. Google, Twitter et Facebook seront un jour tout-SSL par défaut, mais ils ont besoin de temps pour mettre leurs infrastructures au niveau des exigences requises. Autre question : les utilisateurs en ont-ils réellement besoin, et leurs recherches banales sont-elles si importantes qu'elles doivent être effectuées dans la plus grande confidentialité ?
Firesheep est probablement un bon exemple pou montrer à ceux qui en doutent, à quel point il est facile de voir les résultats de recherche de son voisin, connecté en mode non sécurisé. Ce simple outil, sous forme d'extension à ajouter au navigateur Internet, permet d'intercepter le trafic envoyé par un utilisateur sur un réseau WiFi non crypté. C'est ce qui était arrivé à l'acteur Ashton Kutcher, qui avait découvert à ses dépens que l'interception avait permis à des hackers d'usurper son identité sur Twitter après avoir sniffé ses données de connexion conservées dans un cookie. L'événement avait été en partie à l'origine de la conversion soudaine de Twitter au SSL.
(...)(21/10/2011 11:12:55)Duqu, fils spirituel de Stuxnet ?
Et si un des enfants naturels de Stuxnet se nommait Duqu. C'est en tout cas une hypothèse avancée par Symantec, qui explique sur son blog que ce trojan partage une bonne partie de son code source avec Stuxnet, même si l'éditeur constate que « les objectifs de Duqu sont différents ». Stuxnet avait été créé pour bloquer ou saboter des systèmes de contrôle industriel (comme une centrale nucléaire par exemple) et sur des systèmes très précis, SCADA de Siemens en l'occurrence. Duqu se définit selon Alexander Gostev, expert en sécurité chez Kaspersky, comme « deux programmes malfaisant (au minimum), un module principal et un keylogger (enregistreur de frappes), un logiciel permettant d'enregistrer l'utilisateur d'un ordinateur ». L'objectif de Duqu, qui est un RAT (Remote Access Trojan) selon Symantec, pourrait récupérer à distance des données sur les systèmes de contrôle industriel, comme les plans de conceptions, les rapports de maintenance, etc. Cette collecte d'informations peut ensuite être utilisée ou aider à la préparation d'une attaque. Symantec explique qu'il est très probable que le code de Duqu ait été créé par « les mêmes personnes qui ont fait celui de Stuxnet ».
Duqu viserait les autorités de certification
(...)(19/10/2011 13:27:23)
DDoS et injection SQL, sujets phares des hackers sur les forums
Certains forums de discussion - des lieux « underground » virtuels - occupent une place importante dans l'écosystème de la cybercriminalité. C'est là que les pirates vendent et échangent des informations, des outils logiciels, des exploits, des services et autres marchandises illicites. « Les forums sont la pierre angulaire du piratage - ils sont utilisés par les pirates informatiques pour se former, communiquer et collaborer, mais aussi pour le recrutement, le commerce et même pour l'interaction sociale », fait remarquer le vendeur de solutions de sécurité Imperva.
Ses chercheurs ont récemment analysé sur plusieurs années les fils de discussion publiés sur le forum du site HackForums.net, lequel, avec plus de 220 000 membres inscrits, est l'un des plus importants forums de discussion pour les pirates informatiques. Le travail d'Imperva a consisté notamment à identifier les cibles les plus communément visées par les hackers, les tendances en matière d'échange, et vers quel type d'actions les pirates se dirigent.
DDoS et injection SQL passionnent les hackers
En ce qui concerne la popularité des attaques discutées, les analystes ont établi que les attaques DDoS avaient été mentionnées dans 22 % des discussions. Viennent ensuite les attaques par injection SQL, une technique couramment utilisée pour compromettre des sites Web, qui occupent 19 % des conversations. L'analyse des contenus des fils de discussion montre également que le spam, avec un taux de 16%, arrive en troisième position dans le classement des attaques préférées des hackers. Selon Imperva, ce n'est pas une surprise, du fait, sans doute, « que le spam constitue un des principaux moyens de générer des revenus illégaux. »
Les exploits de type « zero-day » occupent 10 % des discussions sur le forum. Cependant, le dernier rapport sur la sécurité (DRS) établi par Microsoft affirme que ce type d'exploit est au final utilisé dans moins de 1 % des attaques.
Formation au piratage en ligne
Les forums représentent également un outil important pour la formation des pirates en herbe. Ainsi, Imperva a constaté qu'un quart des discussions s'adressent à des hackers débutants. Un autre quart des conversations concerne les outils de piratage et les logiciels, tandis qu'un cinquième apporte des informations sur les sites Web et les forums sur le hacking. Le piratage mobile, de plus en plus populaire, est une autre tendance mise en évidence par les chercheurs d'Imperva. Ce point de vue se confirme dans les statistiques établies dans le monde réel et dans les rapports d'analyse d'autres fournisseurs de solutions de sécurité. Les fils de discussions sur le piratage de l'iPhone monopolisent à eux seuls la moitié des conversations sur le sujet.
Globalement, les discussions sur le piratage ont augmenté de plus de 150 % au cours des quatre dernières années. « L'augmentation de l'activité du forum de hackers permet d'expliquer que, ajouté aux formes de piratage automatisées, il y a tout simplement plus de pirates et que ceux-ci commettent davantage d'intrusions », conclut Imperva.
(...)(19/10/2011 13:17:03)Oracle livre des patchs corrigeant une «centaine» de produits
Parmi les applications d'Oracle concernées par cette série de patchs, on trouve les bases de données 11g et 10g; Fusion Middleware 11g, Application Server 10g; E-Business Suite 11i et 12 ; différentes versions de PeopleSoft Enterprise et Siebel CRM ; Linux 5 et Sun Ray. Le patch le plus critique concerne l'OS Solaris pour lequel la vulnérabilité a obtenu un score de 9.3 dans l'échelle du CVSS (Common Vulnerability Scoring System), soit le niveau le plus élevé dans la série des correctifs livrés par Oracle.
Selon l'éditeur, aucun des 4 bugs corrigés dans les bases de données ne peut être exploité à distance par un attaquant éventuel sans mot de passe et sans nom d'utilisateur. Ce qui n'est pas le cas pour 5 des 10 bugs corrigés dans Fusion Middleware et pour 3 autres bugs parmi ceux affectant E-Business Suite. Par ailleurs, aucun des bogues de PeopleSoft n'est exploitable à distance, par contre l'une des 3 vulnérabilités de Siebel peut être exploitée. Les 20 autres patchs concernent Java SE et affectent des produits comme JavaFX et JRockit. « 19 des 20 vulnérabilités peuvent être exploitées à distance sans authentification, » a encore indiqué Oracle.
En terme d'importance, ce pack de correctifs est comparable à celui livré en juillet dernier, lequel comprenait 78 correctifs. Il fait également coïncider la date de sortie du patch pour Java SE avec le reste des produits Oracle. Mais rien n'indique pour l'instant avec certitude que ce calendrier sera maintenu par la suite.
(...)(18/10/2011 14:55:11)Un hacker irlandais prétend porter Siri sur iPhone 4
Un hacker irlandais a publié une vidéo montrant le portage de Siri sur un iPhone 4. Apple, qui a acheté la société ayant développé Siri en 2010, a exclusivement réservé l'intégration de son assistant à commandes vocales à l'iPhone 4S. L'entreprise californienne a retiré Siri app de l'AppStore depuis le 15 octobre, comme elle l'avait annoncé, et a rendu l'application inactive pour ceux qui l'avaient téléchargée. Sur la vidéo sur YouTube, on voit clairement un iPhone 4 jailbreaké exécutant l'interface de Siri. Parmi les indices probants, l'appareil que l'on voit ne possède que deux séparateurs d'antenne à la partie inférieure, une caractéristique propre à l'iPhone 4, alors que l'iPhone 4S en a deux en bas et deux en haut.
Voir tourner Siri sur iPhone 4 semble prometteur. Mais ce portage non officiel présente d'autres zones d'ombres. Tout d'abord, la vidéo ne montre pas vraiment si les commandes vocales de Siri fonctionnent effectivement. Le site 9-to-5 Mac, affirme pour sa part que la version du hacker irlandais marche, et qu'un iPhone 4 est capable de réagir aux commandes vocales et de répondre à l'utilisateur. Cependant, aucune des vidéos, celle de Steve Troughton-Smith ou celle de 9-to-5 Mac, ne montre Siri en action ou ne présente un utilisateur essayant d'interagir avec les commandes vocales de Siri. Tout ce que l'on voit, c'est que, si l'on appuie sur le bouton du microphone de l'application, l'iPhone 4 répond par un double bip, comme cela se produit sur un iPhone 4S.
Comment tromper les serveurs d'Apple ?
L'autre problème, c'est que, une grande partie du traitement de la voix par Siri passe actuellement par les serveurs d'Apple. Et jusque-là, il semble que Steve Troughton-Smith n'a pas trouvé comment tromper Apple pour faire passer un iPhone 4 pour un iPhone 4S. Sans cet accès aux serveurs d'Apple, Siri ne peut pas faire grand-chose pour les utilisateurs de la version 4. Et si le hacker irlandais, ou quelqu'un d'autre, réussissait le portage des fonctionnalités complètes de Siri, nul doute que les avocats d'Apple s'emploieraient à arrêter et à empêcher la distribution du logiciel jailbreaké.
Néanmoins, il est encourageant de voir que Siri est capable de fonctionner sur un iPhone 4. Ce qui alimente un peu plus le dernier débat à propos de l'iPhone : est-ce que Apple a retiré Siri de l'iPhone 4 pour des raisons techniques ou pour encourager les utilisateurs à acheter son iPhone de dernière génération ? Il faut aussi garder à l'esprit que la firme de Cupertino a mis une version bêta de Siri dans l'iPhone 4S... Alors qui sait ? Peut-être que la société a prévu de faire tourner Siri sur l'iPhone 4, une fois qu'elle aura eu le temps de parfaire la version réservée à l'iPhone 4S.
Illustration: Siri sur iPhone 4S
Crédit Photo: Apple
(...)(18/10/2011 09:54:28)La CNIL consulte sur les données dans le cloud
La Commission Nationale Informatique et Libertés a décidé de lancer une consultation des professionnels, prestataires comme clients, sur le cloud computing. Cette consultation se déroule du 17 octobre au 17 novembre 2011. Pour y participer, il convient de télécharger le document de consultation, de répondre aux questions posées et de le renvoyer à l'adresse indiquée (mail ou courrier postal).
Le document de consultation fixe les raisons de l'inquiétude de la CNIL sur le sujet, redéfinit brièvement le concept de cloud et demande l'avis du répondant sur l'analyse de la CNIL.
Quels sont les champs de compétences de la CNIL?
En l'occurrence, la CNIL ne s'intéresse qu'à un seul aspect de la problématique du cloud, celui en rapport avec sa compétence : qui est responsable du traitement de données personnelles hébergé dans un système d'informatique dans les nuages ? Autrement dit : qui doit veiller aux intérêts des personnes faisant l'objet des traitements cloudifiés ? Et qui doit être, le cas échéant, sanctionné en cas de problème ?
L'avis provisoire de la CNIL adopte une logique proche de celle de la LCEN sur les hébergements web : l'entreprise utilisant un service en ligne est responsable sauf à démontrer l'implication du prestataire.
La police suisse a aussi eu recours à un logiciel d'espionnage
Le département fédéral de justice et police (DFJP) a confirmé jeudi soir une information de la télévision alémanique SF et du quotidien gratuit 20 Minuten selon laquelle un logiciel d'espionnage semblable à celui qui fait scandale en Allemagne a été utilisé en Suisse.
Selon le porte-parole du DFJP, Guido Balmer, ce logiciel n'aurait été utilisé que dans quelques cas pour élucider des crimes graves.
Invoquant l'intérêt des enquêtes en cours, le DFJP a toutefois refusé de dévoiler le nom des logiciels utilisés. Selon M. Balmer, il s'agirait de programmes permettant de décrypter des contenus codés. L'existence de bases légales suffisantes pour autoriser l'utilisation de tels logiciels est toutefois contestée. Denis Simonet, président du parti pirate suisse, a notamment vertement critiqué l'utilisation de ces logiciels qui, selon lui, entrent en contradiction avec les principes d'un Etat de Droit.
La commission des affaires juridiques du Conseil national a été informée jeudi de l'utilisation en Suisse de logiciels d'espionnage. Toutefois, la livraison de tels logiciels à la Suisse par l'entreprise allemande Digitask, à l'origine du scandale en Allemagne, aurait déjà été connue au préalable.
http://www.ictjournal.ch/
Illustration : D.R.
| < Les 10 documents précédents | Les 10 documents suivants > |