Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 321 à 330.
| < Les 10 documents précédents | Les 10 documents suivants > |
(02/09/2011 17:24:39)
Recap IT : Certificats SSL volés, VMworld et Dreamforce, Amende contre SAP révisée
La dernière semaine de vacances scolaires a débuté de manière très sécuritaire. Lundi, on apprenait que neuf sites Internet de préfectures avaient été victimes d'une cyber-attaque les rendant indisponibles. Le lendemain, c'est au tour de Google d'être victime d'un certificat d'authentification volé à une autorité de certification hollandaise. On apprendra par la suite que l'éditeur de Mountain View n'était pas le seul visé et que le nombre de certificats SSL dérobés pourrait atteindre 200. Enfin, plus de peur que de mal, des serveurs du site kernel.org, hébergeant les archives des sources du système Linux, ont été piratés, mais sans compromettre le noyau Linux. Enfin, le projet Commotion promet un accès Internet libre, autonome et donne des espoirs pour les dissidents politiques de s'affranchir de la censure.
VMworld et Dreamforce
Les deux grands évènements de la semaine ont été VMworld à Las Vegas et Dreamforce à San Francisco. Le spécialiste de la virtualisation a présenté ses solutions de VDI ou d'hyperviseur pour mobile (soutenu par Samsung et LG), des partenaires comme Dell ont annoncé leur cloud public. Paul Maritz, PDG de VMware en a profité pour développer un thème à la mode, l'ère « Post PC ». Il s'agit d'un thème récurrent que l'on retrouve dans le discours inaugural de Marc Benioff, PDG de SalesForce.com, sur la « social entreprise » et teinté de prosélytisme sur le cloud.
Amende révisée pour SAP, TouchPad rationné
Sur le plan économique, on notera qu'IBM a racheté deux sociétés, spécialisées dans l'analytique. Un moyen pour Big Blue de répondre à une demande, mais aussi de renforcer son offre de traitement des Big Data. La grosse surprise de la semaine est venue d'un juge américain qui a rejeté le montant de l'amende de 1,3 milliards de dollars infligée à SAP dans l'affaire TomorrowNow, la jugeant excessive. Oracle devrait faire appel de cette décision. HP a suscité quelques heures d'espoir aux consommateurs français avec l'annonce de la production d'un nouveau lot de tablettes TouchPad, qui ne seront malheureusement que pour le marché américain. Enfin, à l'approche de la probable présentation du ou des successeurs de l'iPhone 4, les rumeurs vont bon train, au point qu'Apple aurait de nouveau perdu un prototype de l'iPhone 5 dans un bar...
Commotion, un réseau Internet autonome libre et gratuit.
Comme les récents événements survenus en Egypte et en Tunisie l'ont illustré, les dissidents du monde entier ont besoin d'une plate-forme sécurisée et fiable pour s'assurer que leurs communications ne peuvent pas être contrôlée ou coupées par des régimes autoritaires. À ce jour, les technologies destinées à contourner les communications bloquées ont porté principalement sur le développement des services qui s'exécutent sur des infrastructures de communication préexistantes. Libre et gratuit, le réseau autonome Commotion devrait pouvoir répondre aux attentes des dissidents. D'origine américaine, il est soutenu par l'Open Technology Initiative, une association qui milite pour le développement de logiciels libres
Relier des équipements Wifi au réseau en peer-to-peer
Commotion est une plate-forme Open Source de communication distribuée en mode « device-as-infrastructure » qui
permet à des équipements activés en WiFi (par exemple, les ordinateurs portables, les smartphones, les routeurs sans fil) d'être reliés directement (par les ondes WiFi) pour former un réseau de communication peer-to-peer. En s'appuyant sur une infrastructure maillée (MESH) et sans fil, Commotion contourne l'existant et est ainsi capable de soutenir les défenseurs des droits et organisations de la société civile qui travaillent autour du globe.
Tout d'abord, l'infrastructure distribuée du réseau ne permet plus aux gouvernements de perturber les communications en fermant les infrastructures de communication. Ensuite, Commotion améliore la sécurité des communications entre les militants en éliminant les points de contrôle centralisé, en autorisant directement la communication peer-to-peer, en agrégeant et en sécurisant les flux individuels de communication.
Commotion permet donc de se prémunir des gouvernements hostiles qui surveillent, perturbent ou stoppent des communications. La plate-forme peut être utilisée pour renforcer la sécurité des dissidents en autorisant des échanges en peer-to-peer.
Les utilisateurs de Commotion ont commencé à s'organiser autour de deux axes. Le premier est de mettre à niveau les ports client OLSR ( Optimized Link State Routing Protocol ), un protocole de routage destiné aux réseaux maillés, sans fil ou mobiles à partir de Windows, OS X, iPhone et Android. Cela permettra aux gens qui sont sur le terrain de créer un intranet communautaire à partir de périphériques existants. Le deuxième axe porte sur une technologie Tor (projet de routage en oignons) pour rendre la navigation anonyme.
(...)
Piraté ou pas, le noyau Linux est bien protégé
Le site Kernel.org a été piraté, mais le noyau Linux n'a pas été affecté. Sans aucun doute, les investigations se poursuivent sur plusieurs fronts, et Kernel.org s'emploie à faire en sorte que chacun de ses 448 utilisateurs changent de mot de passe et de clés SSH. Reste que, en attendant, il semble qu'il n'y ait aucun besoin de s'inquiéter au sujet du code Linux. Une bonne nouvelle pour ceux qui connaissent et aiment ce système d'exploitation (maj).
Trois raisons pour lesquelles cela semble bien être le cas, ont émergé depuis que le piratage a été découvert. En substance, elles se résument par le fait que le développement du noyau se fait à l'aide de Git, un logiciel de gestion de versions décentralisé (il est distribué sous licence libre GNU GPL version 2), créé par Linus Torvalds, le créateur du noyau Linux. Voilà en quoi cela fait une différence
« Un hachage cryptographiquement sûr »
« Les dommages potentiels résultant du piratage du site Kernel.org ont beaucoup moins de conséquence que sur des banques de logiciels classiques », indique le communiqué publié sur le site Kernel.org. En effet, Git indexe les fichiers d'après leur somme de contrôle calculée avec la fonction SHA-1. « Pour chacun des 40 000 fichiers environ du noyau Linux, la table de hachage SHA-1 est cryptographiquement sûre, et calculée en fonction du contenu unique et exact du fichier, » explique la note. « Git prend en compte, pour établir le nom de chaque version du noyau, de l'historique de tout le développement jusqu'à la version en question. Une fois qu'il est publié, il n'est pas possible de changer les anciennes versions sans que l'on s'en rende compte. » Par ailleurs, ces fichiers et leurs hachages liés sont répartis dans plusieurs endroits : sur la machine kernel.org et ses miroirs, sur les disques durs de plusieurs milliers de développeurs travaillant sur le noyau, de ceux qui maintiennent la distribution Linux et d'autres personnes impliquées dans kernel.org, » ajoute le site. « L'altération de n'importe quel fichier dans le référentiel kernel.org serait immédiatement repéré par chaque développeur au moment de la mise à jour de leur référentiel personnel, ce que font la plupart d'entre eux quotidiennement. »
«Inutile de s'inquiéter»
Jonathan Corbet, rédacteur en chef de LWN.net et contributeur pour le noyau Linux, a eu les mêmes mots rassurant. Tout en admettant que la violation était « troublante et embarrassante », celui-ci a écrit que « il n'y avait pas besoin de s'inquiéter de l'intégrité du noyau source ou de tout autre logiciel hébergé sur les systèmes de kernel.org. » Si les développeurs travaillaient sur des bouts de codes pour les envoyer ensuite comme de simples fichiers, ceux-ci pourraient être vulnérable aux logiciels malveillants ajoutés par des intrus, » a expliqué Jonathan Corbet. « Mais ce n'est pas comme ça que se fait le développement du noyau Linux. »
Comme le fait remarquer le journaliste, la fonction de hachage de Git produit des nombres en 160 bits, et chaque fois que le contenu d'un fichier est modifié, le « hash » change aussi. « Un pirate n'aurait aucun moyen de modifier un fichier sans changer en même temps le hash correspondant. Git vérifie les hash régulièrement, et une tentative pour corrompre un fichier serait presque immédiatement repérée, » a-t-il ajouté.
« On le verrait tout de suite »
Il y a également le fait que « pour un état donné de l'arborescence du noyau source, Git calcule un hash basé sur les valeurs de hash de tous les fichiers contenus dans cet arbre, et les valeurs de hash de tous les précédents états de l'arbre », a expliqué Jonathan Corbet. « Par exemple, le hash du kernel version 3.0 est 02f8c6aee8df3cdc935e9bdd4f2d020306035dbe. Il n'y a aucun moyen de modifier les fichiers contenus de cette version - ou dans une quelconque version précédente - sans changer cette valeur de hachage. Si quelqu'un (même via la banque de logiciels kerneg.org) tentait de proposer un noyau 3.0 avec un hachage différent, on verrait tout de suite qu'il y a un problème. »
On peut trouver plus d'explications sur le blog du développeur Git Junio Hamano C, comme indiqué sur The H, qui fournit encore plus de détails techniques.
Alors, si ces experts disent vrai - et on peut être sûr que c'est le cas - le noyau Linux est tout à fait sain et sauf.
Crédit Photo: D.R
(...)(02/09/2011 12:04:14)Contrat avec la Libye : Amesys se défend
Récemment mise en cause, dans les colonnes du quotidien américain Wall Street Journal, pour avoir fourni des équipements dans le cadre d'un projet mis en place par le régime libyen de Mouammar Kadhafi, la SSII Amesys, filiale du groupe français Bull, a publié un communiqué pour s'expliquer.
Elle y indique avoir effectivement signé en 2007 avec les autorités libyennes un contrat pour la mise à disposition d'un matériel d'analyse « portant sur une fraction des connexions Internet existantes, soient quelques milliers ». En revanche, la SSII spécialisée sur les questions de sécurité et les systèmes critiques ajoute que ce contrat n'incluait ni les communications Internet via satellite, ni le filtrage de sites web et qu'il ne permettait pas non plus de surveiller les lignes téléphoniques. Ce faisant, elle cherche à se défendre d'avoir pu contribuer à aider le régime libyen dans ses tentatives d'espionnage.
La SSII souligne par ailleurs qu'elle a signé ce contrat « dans un contexte international de rapprochement diplomatique avec la Libye qui souhaitait lutter contre le terrorisme ». Son matériel a été livré en 2008. Elle précise encore que sa stratégie consiste à élaborer des systèmes informatiques destinés à protéger le patrimoine numérique de ses clients ou la sécurité physique des personnes.
Crédit illustration : D.R.
Facebook a versé 40 000 dollars de primes aux chasseurs de bugs
Trois semaines après avoir lancé Security Bug Bounty, programme qui récompense des hackers ayant trouvé des failles sur son site, Facebook a indiqué qu'il avait déjà versé plus de 40 000 dollars de primes aux chasseurs de bugs. Lundi dernier, le réseau social a déclaré que cette opération était une réussite, car elle avait réussi à mobiliser des experts de la sécurité du monde entier. « Nous avons pu nouer des relations avec un beaucoup d'experts en sécurité, dont le nombre ne cesse de croître, et entamé le dialogue avec des personnes de plus de 16 pays, dont la Turquie à la Pologne, passionnés par la sécurité sur Internet, » s'est réjoui Facebook dans un billet de blog consacré à ce programme.
Ces dernières années, les entreprises technologiques ont commencé à payer des hackers pour les encourager à rapporter tranquillement des bugs. Google et Mozilla, par exemple, fonctionnent avec des programmes similaires de primes sur la découverte de failles.
Des primes pouvant atteindre les 7 000 dollars
Facebook a indiqué qu'il payait 500 dollars par bug mais que la prime pouvait être plus importante en cas de problèmes exceptionnels. Le site a, par exemple, décidé d'accorder 5 000 dollars de primes à un pirate en raison de son « très bon rapport ». et également versé 7 000 dollars à un hacker qui avait fait remonter six problèmes de nature différente.
« A l'opposé, nous avons eu à traiter des rapports de bugs émanant de personnes qui étaient juste à la recherche de publicité, » a déclaré Facebook. Bien que la firme ait parlé de son programme de primes aux bugs en termes élogieux, Security Bug Bounty ne couvrira pas les centaines de milliers d'applications écrites par des tiers car, pour Facebook, « ce n'est tout simplement pas pratique ».
(...)
Recap été 2011 (juillet) : Google+ entre en scène, Pas de crises pour les entreprises IT, Florilèges sécuritaires
Le mois de juillet 2011 loin d'être climatiquement le plus chaud, aura été très actif sur le plan de l'IT. Rachat, résultats financiers, sécurité, réseaux sociaux, mobilité, plusieurs acteurs ont animé ce début d'été.
Naissance et succès de Google+
En jouant la modestie, Google a présenté au début de l'été son réseau social, baptisé Google+. Ce dernier se démarque entre autre de Facebook en catégorisant les personnes qui vous suivent dans des cercles et en refusant les pseudonymes. L'inscription se fait par invitation. A peine lancé, ce service a connu un fort succès au point que même les entreprises ont souhaité s'y inscrire. Paul Allen, co-fondateur de Microsoft avait prévu que la barre des 20 millions d'abonnés serait atteinte si Google ouvrait les inscriptions. Ce dernier garde néanmoins cette politique et travaille sur l'amélioration du service et sur la mise en place d'un service pour les entreprises, le marketing et même pour les jeunes.
Rachats et résultats financiers records
Sur le plan des acquisitions, la plus marquante a été celle de Pillar Data par Oracle. Le dernier spécialiste du stockage virtualisé tombe dans l'escarcelle de la firme de Larry Ellison, principal actionnaire de Pillar. On notera également le rachat de Force10 Networks, spécialiste du réseau par Dell. Beaucoup d'analystes penchaient plutôt sur un rachat avec Brocade.
Côté finance, les entreprises IT ne connaissent pas la crise en affichant des résultats trimestriels ou annuels record. Apple avait ouvert le bal en flirtant avec la 1ère place mondiale en termes de capitalisation boursière. Les ventes d'iPad et d'iPhone ont été un succès au point que la firme de Cupertino détrône Nokia sur le marché des smartphones. Par ailleurs, la sortie de Mac OS X Lion affichait un million de téléchargements dès le premier jour de commercialisation. Google, EMC, Microsoft ont déjoué les pronostics des analystes en publiant des résultats supérieurs aux prévisions. Même Intel échappe à l'érosion du marché des PC.
Botnet, Barack Obama, Jailbreak iPad 2
La sécurité ne prend pas de vacances et le web a vu l'arrivée d'un botnet coriace sous le nom de TDL-4. Il a réussi à infecter près de 5 millions de machines. Il combine réseau public de P2P et chiffrement propriétaire pour ses communications entre les ordinateurs infectés et les serveurs d'instruction. Autre fait, un compte twitter d'une chaîne de télévision américain a été piratée et a annoncé la mort de Barack Obama. Elle s'est excusée, mais des interrogations sont apparues sur la sécurité du site de micro-blogging. Le cloud a été aussi au coeur d'une polémique quand Microsoft a indiqué qu'il pourrait sur demande transférer des données de clients européens vers des sites soumis aux autorités américaines, en vertu du Patriot Act.
Enfin pour terminer, un hacker du nom de Comex a annoncé le déverrouillage des versions 4.3. d'iOS et donc de l'iPad 2 (en version 4.3.3 seulement) et propose après jailbreak un patch (disponible sur Cydia) pour corriger la faille dont il s'est servi pour craquer la tablette. Et que croyez-vous qu'il arriva, et bien Comex a annoncé récemment qu'il effectuait un stage chez ...Apple.
Google, pas la seule victime du hack de certificats SSL
Les certificats SSL (Secure Sockets Layer) et EVSSL (Extended Validation) créés par DigiNotar, sont reconnus par les navigateurs Internet et ont pour fonction de vérifier que les internautes se trouvent bien sur le site qu'ils pensent visiter. L'entreprise hollandaise est une autorité de certification (CA), c'est à dire qu'elle vend des certificats numériques pour les propriétaires de sites web légitimes. Mais DigiNotar a émis, à son insu, un certificat numérique pour le domaine google.com, une erreur qui pourrait permettre à un attaquant doué d'intercepter les mails d'un utilisateur. Lundi, Google a fait savoir que le certificat frauduleux avait été utilisé pour cibler des internautes en Iran. Mais le géant de l'internet a précisé qu'une fonctionnalité de sécurité, implémentée dans son navigateur Chrome, permettait de détecter le certificat et d'avertir les utilisateurs.
DigiNotar, filiale de l'entreprise de sécurité Vasco Data Security International, a fait savoir qu'un audit effectué le 19 juillet lui a permis de découvrir que son infrastructure chargée d'émettre les certificats, avait été compromise. Hier, en fin d'après-midi, Jochem Binst, responsable de la communication de Vasco, a déclaré dans une interview que les pirates avaient créé de faux certificats pour « plusieurs dizaines » de sites web, affirmant que la plupart avait été annulé. « Mais le certificat numérique pour google.com - émis le 10 Juillet - n'a été activé que dimanche, » a déclaré Jochem Binst. C'est la Dutch Computer Emergency Response Team qui a informé Vasco que ce certificat n'avait pas encore été révoqué. « DigiNotar a annulé le certificat, lundi, » a déclaré le responsable de la communication de Vasco.
Interrogations sur le modus operandi et révocation
On ne sait pas comment les pirates ont réussi à s'introduire dans l'infrastructure utilisée par DigiNotar pour émettre les certificats, ni combien de temps a duré l'intrusion, mais une vérification est en cours. « Nous effectuons actuellement des vérifications supplémentaires et nous pourrons formuler nos conclusions, probablement d'ici la fin de la semaine, » a déclaré Jochem Binst. « Jusqu'à la fin de l'enquête, DigiNotar ne vendra pas de nouveaux certificats numériques, » a ajouté le directeur de la communication. Les clients de DigiNotar sont essentiellement des entreprises hollandaises. Celles-ci risquent d'avoir quelques coups durs dans les jours à venir : Google, Mozilla et Microsoft ont révoqué ou sont en train de retirer à DigiNotar son autorité de certification. Cela signifie que les personnes qui visiteront des sites utilisant les certificats de DigiNotar verront probablement apparaître un avertissement informant que le site n'est pas fiable et qu'il ne devrait pas être consulté.
Jochem Binst a indiqué que DigiNotar en avait informé ses clients. Une solution pour régler le problème consisterait à remplacer les certificats de ces sites internet par des certificats émis par le gouvernement néerlandais. Mais celui-ci n'a pas précisé qui pourrait procéder à un tel échange. Une autre option consisterait à contacter les éditeurs des principaux navigateurs internet et de leur demander d'effectuer des modifications techniques pour continuer à honorer les certificats de DigiNotar.
Jochem Binst n'a pas pu dire, à combien de clients, DigiNotar vendait ses certificats numériques. Mais selon la déclaration faite par Vasco, sur les six premiers mois de l'année, les revenus de sa filiale relatifs à son activité de certification s'élevaient à moins de 100 000 euros.
Une obligation de révéler les fuites de données personnelles pour les opérateurs
Le Journal Officiel a récemment publié l'ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques. De valeur législative mais prise par le gouvernement, cette ordonnance transpose des dispositions de plusieurs directives européennes dans le droit français. Elle renforce notablement les obligations de sécurité des opérateurs et des fournisseurs de services. Elle institue notamment une obligation de notification à la CNIL ou aux intéressés des fuites ou pertes de données personnelles.
Les premiers articles de l'ordonnance, ainsi que son titre II, sont relatifs à la régulation du marché des télécommunications. On y trouve notamment des dispositions sur de nouvelles obligations des opérateurs ou pour préciser celles existantes, comme l'accès aux infrastructures de tiers (article 9 notamment) ou les cessions significatives d'infrastructures. Rien, cependant, n'est ici révolutionnaire, à une exception près. En effet, le ministre en charge du secteur peut désormais imposer des audits de sécurité chez les opérateurs (article 6, modifiant les articles L 33-9 et L 33-10 du Code des Postes et Communications Electroniques, le CPCE). Dans le même esprit, l'article 16 permet à l'ARCEP d'imposer des niveaux de service minimums aux opérateurs.
Obligation de révéler les fuites de données personnelles
Le deuxième chapitre de l'ordonnance modifie des dispositions relatives aux contrats entre des fournisseurs de services de télécommunications (notamment d'accès à Internet) et les consommateurs. Il précise les modalités contractuelles sans remise en cause fondamentale. Le chapitre trois précise les dispositions relatives à la protection des données personnelles.
C'est à ce niveau, à l'article 39, qu'est instituée une obligation de notifier une « violation de données à caractère personnel à la Commission nationale de l'informatique et des libertés ou à l'intéressé ». L'absence de cette notification est punie de 300 000 euros d'amende et 5 ans de prison. Elle ne concerne cependant que les fournisseurs de services de communications électroniques.
La répression du piratage est également accrue. Le titre III renforce ainsi les sanctions concernant la commercialisation d'appareils servant à pirater les communications électroniques. Le titre IV facilite, quant à lui, le travail des autorités judiciaires et policières face aux opérateurs.
| < Les 10 documents précédents | Les 10 documents suivants > |