Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 351 à 360.
| < Les 10 documents précédents | Les 10 documents suivants > |
(09/08/2011 09:50:45)
Gartner conseille aux entreprises de réviser leurs politiques de confidentialité
(mise à jour) Selon le cabinet Gartner, plusieurs menaces s'additionnent en matière de confidentialité des données : les violations de données, le cloud computing, les services associés à de la géolocalisation. Elles conduisent toutes les organisations, et au moins la moitié d'entre elles, à revoir leurs politiques de confidentialité d'ici la fin 2012. Ces questions vont même dominer l'agenda des responsables de la sécurité dans les deux ans à venir, soutient le Gartner.
Carsten Casper, directeur de recherches au Gartner, souligne que « en 2010, les organisations en général et les entreprises en particulier ont connu de nouvelles menaces sur les données personnelles et privées, alors que les budgets affectés à ces problèmes sont restés sous pression. En 2011 et 2012, ces programmes sont restés en sous investissement chronique, nécessitant la création de postes de responsables spécialisés aptes à construire et entretenir de solides relations en interne avec : les instances de direction, les RH, la sécurité informatique, les développeurs d'application. Autre nécessite pour ces responsables : se lier avec les autorités de réglementation et la communauté de défense ».
Cinq points essentiels relatifs à la sécurité
Toujours selon Gartner, ces responsables devront se confronter à cinq points essentiels dans leur politique de confidentialité :
- La violation des données continue d'être une préoccupation majeure.
La plupart des contrôles existent déjà si la gestion de la sécurité fonctionne correctement. Les entreprises devraient néanmoins mieux compartimenter les renseignements personnels, restreindre l'accès et le chiffrement des données lors de leur transmission à travers les réseaux publics, chiffrer les données sur des appareils portables, et crypter les données de stockage pour les protéger. Ce sujet ne devrait donc pas consommer plus de 10 % du temps d'un responsable de la confidentialité des données.
- Les services basés sur de la géolocalisation reposent la question de l'exploitation des données personnelles de manière inédite.
Les données de géolocalisation peuvent venir du GPS, de la tour cellulaire la plus proche, des points d'accès sans fil, des informations de positionnement en intérieur, les identifiants des compteurs intelligents et les adresses IP. Chacun de ces cas évolue rapidement et de manière spécifique.
Aller au delà de la collecte des données
Or, les fournisseurs en sont restés à la « collecte » d'information, sans cerner leur « utilisation », ils compilent de vastes quantités d'informations, souvent sans un plan clair de ce qu'il faut faire avec. Ce qui viole un principe fondamental de la confidentialité: collecter des informations uniquement dans le but pour lequel vous avez besoin.
Les responsables consacreront, selon Gartner, 5 à 25 % de leur temps sur les services fournis en fonction de la localisation de l'utilisateur.
- Le cloud computing et la notion de confidentialité ne font pas bon ménage.
Et le Gartner d'expliquer que les lois sur la confidentialité s'appliquent et se limitent à un pays alors que le cloud par définition ignore les frontières nationales. Les entreprises doivent ainsi se concentrer sur l'emplacement de l'entité juridique du fournisseur, et non sur les emplacements physiques de ses centres d'opération.[[page]] Il y a des cas où des informations sensibles de l'entreprise ne doivent pas quitter le pays (par exemple, s'il y des contrôles à l'exportation ou des préoccupations de sécurité nationale), mais dans la plupart des cas il n'y a rien d'obligatoire. Il sera suffisant de s'assurer que les données personnelles ne seront pas stockées dans un pays spécifique qui est connu pour ses violations de confidentialité.
Le responsable devrait consacrer 20 à 30% de son temps à ce sujet.
Trouver l'équilibre en matière de protection de la vie privée
- La valeur de la notion de vie privée détermine la protection nécessaire, mais il est difficile de la quantifier ! La valeur de la vie privée et de la sensibilité des renseignements personnels est impossible à déterminer en dehors de son contexte. Les renseignements personnels n'ont guère d'intérêt en eux mêmes. Tout dépend de la manière dont les données sont traitées. Il faut trouver l'équilibre entre «pas assez» de protection et «trop» de protection, c'est un processus continu.
Les responsables devraient mettre en place un processus pour identifier les parties prenantes dans l'élaboration des informations personnelles, rassembler les exigences de leur part, cerner l'influence de la conception des processus des applications, planifier des ajustements. Une fois ce processus créé, son exécution doit prendre 10% du temps du responsable.
- Les modifications réglementaires sont incessantes, mais de portée limitée.
Les modifications réglementaires ne devraient pas détourner l'attention des responsables de la confidentialité, car la plupart de ses modifications auront seulement un effet limité dans le temps. Il faut savoir interpréter la législation existante sur la vie privée pour les technologies émergentes comme les compteurs intelligents, le positionnement à l'intérieur, la reconnaissance faciale sur smartphones corrélée aux bases de données photo, les véhicules et les localisateurs de périphérique, la détection de présence, les scanners corporels, et autres.
Cette stratégie est importante, mais elle devrait consommer entre 5 et 10% des temps du responsable.
Il reste au responsable de la confidentialité encore15 à 50% de son temps, c'est nécessaire pour exécuter le programme de confidentialité, veiller à la gestion des relations, à l'examen des demandes, à la révision des politiques, au contrôles des documents (les termes des contrats de confidentialité , la consultation avec les juristes), la réponse aux requêtes, le suivi des incidents et la supervision du programme de formation à la question de la vie privée.
(...)
Steven VanRoekel, nouveau CIO de la Maison Blanche
Après le départ de Vivek Kundra, le tenant du titre, Barack Obama a choisi un nouveau CIO (chief information officer) pour son administration fédérale. Son choix s'est porté sur Steven VanRoekel. Depuis deux ans (juin 2009), ce dernier était directeur général de la FCC, l'équivalent de notre Arcep. Auparavant, il avait évolué pendant quinze ans chez Microsoft, occupant différentes fonctions, par exemple assistant de Bill Gates pour les relations extérieures, ou directeur des solutions d'affaires pour les PME et directeur pour Microsoft Server.
Il est bien précisé dans sa lettre de mission que Steven VanRoekel devra utiliser les nouvelles technologies pour aider l'administration à faire des économies, un sujet on ne peut plus d'actualité ! Son prédécesseur, Vivek Kundra, n'avait manifestement pas rempli cette mission, il est devenu professeur à Harvard.
Steven VanRoekel a 41 ans. Il fut contributeur financier à la campagne d'Obama.
Photo : Steven VanRoekel, CIO de la Maison Blanche (crédit : D.R.) (...)
Black Hat : SAP va livrer un correctif de sécurité pour NetWeaver
SAP a averti vendredi qu'il allait corriger rapidement un bug sérieux de sécurité affectant le moteur J2EE (Java 2 Platform Enterprise Edition) inclus dans son offre NetWeaver, architecture de middleware sur laquelle s'appuient les solutions de gestion de l'éditeur.
Le bug a été expliqué jeudi dernier par l'expert en sécurité Alexander Polyakov, directeur technique d'ERPScan, durant l'une des sessions de la conférence Black Hat, à Las Vegas. Dans un billet de blog publié la semaine précédente, celui-ci indiquait que la faille permettait de s'introduire dans les systèmes SAP via Internet en contournant les contrôles d'autorisation d'accès. « Par exemple, il est possible de créer un utilisateur et de l'affecter à un groupe d'administrateurs en se servant de deux requêtes non autorisées au système ». Il ajoute que l'attaque peut aussi se faire sur des systèmes qui sont protégés par une authentification double (clé secrète et mot de passe). ERPscan prépare un outil qui peut détecter le problème sans coût.
« SAP travaille étroitement avec Alexander Polyakov sur cette question, a assuré Andy Kendzie, porte-parole de SAP vendredi, en annonçant la prochaine venue d'un correctif. Ce dernier sera fourni dans le cadre d'une mise à jour de sécurité régulière et ne fera pas l'objet d'un correctif d'urgence particulier.
Cette information arrive peu de temps après la livraison par Oracle de Java SE 7 qui comportait des bugs que les ingénieurs d'Oracle connaissaient, ce qui a suscité une certaine consternation. L'éditeur de Java corrigera le bug dans une mise à jour.
DefCon : des experts en sécurité donnent trois conseils aux Anonymous
Le mouvement des Anonymous est-il en train de vivre une crise de mi-parcours ? Il ne fait aucun doute que le collectif de pirates, plus ou moins organisé, a gagné des soutiens et de l'attention au cours de l'année, suite notamment aux attaques menées contre PayPal, Sony, l'entreprise de sécurité HBGary Federal qui travaille pour le gouvernement américain, mais aussi grâce aux diverses perturbations créées par son groupe parent, LulzSec. Mais, le groupe a peut-être besoin de gagner un peu en maturité, afin de mieux faire passer son message. A l'occasion de la conférence Defcon, samedi dernier à Las Vegas, des experts en sécurité informatique ont donné trois conseils aux Anonymous, afin qu'ils soient plus efficaces.
1. Attention aux nouveaux membres.
Suite à l'attaque par déni de service (DoS) menée contre le site de PayPal en décembre 2010, l'entreprise avait remis au FBI (Federal Bureau of Investigation) environ 1 000 adresses IP en relation avec l'assaut. Mais les personnes impliquées pensaient sans doute qu'elles téléchargeaient simplement le logiciel LOIC (Low Cannon Ion Orbit) qu'Anonymous utilise pour mener ses attaques. Elles l'ont fait pour se joindre à un mouvement de protestation, et non pour être accusées de commettre un crime fédéral.
« Les Anonymous sont porteur d'une idée qui fait son chemin : n'importe qui peut se joindre à eux et prendre les armes. Mais ils ne préparent pas ceux qui veulent les soutenir à utiliser leurs outils », a déclaré un expert en sécurité, connu sous le pseudonyme de Jericho, et fondateur du site web Attrition.org sur lequel on peut trouver des informations sur la sécurité informatique. « Anonymous doit éduquer ses supporters et bien informer le public sur ses objectifs. »
Gregg Housh, un porte-parole des Anonymous, dit avoir été submergé de courriels pendant les attaques du mois de décembre. Ceux-ci émanaient de néophytes qui cherchaient à rejoindre le mouvement. Tous les courriels disaient : « je ne sais pas ce que vous faites, mais je voudrais vous aider », a t-il raconté. « Pendant plus de deux jours, toutes les heures, j'ai reçu 100 à 150 messages de ce genre. » Mais il ne pouvait même pas répondre aux mails, « car j'aurais pu être accusé de participer à des activités criminelles. » Celui-ci fait remarquer au passage qu'il existait un canal IRC (Internet Relay Chat) du nom de « New Blood », utilisé par les membres d'Anonymous pour communiquer et apporter leur aide.
2. Attention à ce que vous divulguez.
Anonymous a fait connaître au public les campagnes de désinformation menées par HBGary Federal pour discréditer des organisations comme Wikileaks. Mais, selon un autre blogueur, expert en sécurité, connu sous le pseudo de Krypt3ia, l'entreprise de sécurité est loin d'être la seule à mener ce type d'opérations. « Voilà longtemps que ça se passe comme ça dans le secteur privé », a-t-il indiqué. « Ce n'est pas nouveau. Et HBGary est juste une entreprise épinglée parmi d'autres. »
Cela signifie qu'il y a de bonnes chances pour qu'Anonymous soit un jour la cible d'une campagne de désinformation de ce genre. N'importe quel pirate pourrait laisser sur l'ordinateur où il s'est introduit un fichier avec le slogan d'Anonymous, « Nous sommes légion » pour porter préjudice au groupe. Il n'y a aucun moyen de l'en empêcher. « Comment faire la différence entre une vraie action ciblée et une action de désinformation ? », demande Krypt3ia.
3. Attention aux dommages collatéraux.
Lorsque, il y a deux mois, le groupe LulzSec, a publié les noms et mots de passe de milliers d'utilisateurs, il n'a pas fallu longtemps pour que quelques-uns soient touchés. Certains ont vu leurs comptes de messagerie compromis et constaté que des commandes frauduleuses avaient été passées en leur nom sur Amazon suite à la diffusion de cette liste. Les Anonymous disent qu'ils veulent dénoncer l'hypocrisie des entreprises et la corruption des gouvernements. Mais rendre publiques les informations personnelles de gens ordinaires ne contribue pas à servir cette cause.
« Anonymous a livré les mails de HBGary. Mais historiquement, la meilleure information est toujours venue de sources internes.» Ce fut le cas de Deep Throat (l'agent du FBI Mark Felt) dans le cas du Watergate, ou encore de Bradley Manning, le membre des forces armées qui a livré les câbles diplomatiques et autres documents à Wikileaks. « Ces informations ne sont pas venues des pirates eux-mêmes », a déclaré Krypt3ia. « Les véritables révélations émanaient des initiés. »
Il était prévu que, pendant la conférence où se sont exprimés Jericho et Krypt3ia, l'ancien PDG de HBGary Federal, Aaron Barr, prenne également la parole. Mais suite aux menaces juridiques formulées par son ancien employeur, celui-ci est resté à l'écart du podium. « HBGary essaie de prendre ses distances avec Aaron Barr, mais le fait de l'empêcher de s'exprimer ne va probablement pas plaire aux pirates qui soutiennent les Anonymous », a déclaré Joshua Corman, un chercheur en sécurité, également présent à la conférence. Selon lui, HBGary vient en quelque sorte « de se désigner comme cible. »
Illustration : DefCon (crédit IDGNS)
Black Hat : hackers et crackers, héros potentiels de la lutte anti-terroriste
Hackers et crackers ont pu entendre un plaidoyer très patriotique en leur faveur lors d'une des interventions de la conférence Black Hat, la semaine dernière à Las Vegas, rapportent nos confrères de Network World. Ils ont été présentés comme de potentiels héros, alors que les actes de terrorismes évoluent vers des cyber-attaques, également capables de déclencher des destructions physiques.
C'est un ancien patron de la CIA, Cofer Black, en fonction pendant les événements du 11 septembre 2001, et chargé à l'époque de diriger le contre-terrorisme, qui l'a exposé à une assemblée où se pressaient quelques milliers de participants. Selon lui, les trois premières menaces terroristes traditionnelles - chimiques, bactériologiques, radiologiques - ont changé de nature pour laisser la place à des menaces cinétiques (celles qui incluent des troupes et des armes), bactériologiques et cybernétiques. «Le monde du terrorisme que j'ai connu appartient au passé », a déclaré Cofer Black, aujourd'hui à la retraite, qui a servi pendant 28 ans dans la CIA. « C'est votre tour maintenant », a t-il ajouté.
Stuxnet a changé le visage du terrorisme
Selon l'ancien chef du contre-terrorisme, Stuxnet a définitivement changé le visage du terrorisme et montré quelles conséquences pouvaient avoir les cyber-attaques. Le ver très sophistiqué qui a pu prendre le contrôle de mécanismes gérant des centrifugeuses dans la centrale nucléaire iranienne de Bouchehr pour les endommager, a eu l'effet d'une attaque physique. « Stuxnet est le Rubicon de notre avenir », a-t-il dit. Ce que l'on a pu considérer comme un univers de farces de collège est maintenant capable de détruire une infrastructure nationale. « C'est énorme. » Tellement énorme que l'armée américaine a prévu dans ses stratégies des réponses aux cyber-attaques qui dépassent le seul espace des réseaux informatiques. Ainsi, une cyber-attaque peut justifier en représailles des réponses cinétiques, comme des frappes aériennes contre des centrales électriques ennemies pour réduire à néant un réseau électrique. Selon Cofer Black, l'action anti-terroriste menée par les États-Unis a réduit la probabilité d'un autre événement terroriste de grande envergure comme l'attaque contre le World Trade Center. Mais les terroristes vont investir de manière croissante dans le piratage et chercher des compétences dans ce domaine, « car ils savent maintenant que ce type d'actions peut être destructeur. »
« Nous sommes légion ! »
Selon l'ancien chef de la CIA, les cyber-contre-terroristes en herbe doivent être prêts à contribuer à cette action. Mais ils doivent aussi être prêts à affronter des décideurs qui ne sont pas encore disposés à accepter que les prochaines actions seront de cette nature. Revenant sur la catastrophe du 11 septembre, il a indiqué que son service au sein de la CIA savait qu'une attaque à grande échelle était en préparation, mais ne savait pas exactement quand, ni où elle aurait lieu. « Jusqu'à ce que le World Trade Center tombe, mon service a eu du mal à convaincre l'administration Bush de l'urgence de la situation », a t-il expliqué. « L'esprit humain a du mal à accepter que des événements dont il n'a jamais eu l'expérience puissent se produire », a t-il ajouté. Selon lui, il faut prévoir des plans et des réponses à une cyber-guerre, de manière à ce que, en cas d'attaque, les États-Unis soient prêts à agir si les dirigeants le demandent. « Ce fut le cas après le 11 septembre : la CIA était prête à envoyer des agents en Afghanistan, pour lutter contre les Talibans et Al-Qaïda. »
Pour conclure, Cofer Black a adressé une sorte de message amical aux participants qui pouvaient appartenir aux groupes d'activistes LulzSec et Anonymous (et dont la devise est « Nous sommes Anonymous. Nous sommes légion. Nous ne pardonnons pas. Nous n'oublions pas »). « C'est la première fois que je participe à la Conférence Black Hat. Maintenant, je peux vous voir. Nous sommes légion ! », a-t-il lancé.
Recap IT : Black Hat et « bug bounty », Adobe montre Edge, L'Enisa scrute HTML5, Bull accueille le FSI
Vous avez manqué les principaux sujets de la semaine, pas de panique, voici un récapitulatif des actualités incontournables. L'Etat français aurait trouvé des partenaires pour son cloud. Et par l'intermédiaire du FSI, il rentre au capital de Bull. L'indicateur mensuel des offres d'emploi cadres publié par l'Apec montre que les annonces IT ont poursuivi leur progression en juin.
L'une après l'autre, les SSII françaises livrent leurs résultats semestriels : entre croissance à deux chiffres et progression modérée, on trouve aussi quelques replis. Le groupe Steria a fait part du décès de Jean Carteron, son fondateur, qui a créé sa société sur la lancée du Plan Calcul et des grands principes de la participation.
Du côté des acteurs du web, Facebook a annoncé qu'il rémunérerait 500 dollars ceux qui trouveraient des bugs sur son site. Deux jours plus tard, la société de Mark Zuckerberg jette son dévolu sur Push Pop Press, éditeur de livres numériques, tandis que la ville japonaise Takeo bascule son site web sur le réseau social. Le désormais rival Google+ atteint les 25 millions d'utilisateurs.
L'éditeur Adobe a profité de l'été pour livrer aux développeurs une pré-bêta du logiciel Edge, conçu pour assembler des contenus dynamiques sur le Web en s'appuyant sur HTML5 et les standards ouverts associés. Mardi, Google et Living Social se sont offert des sites d'achats groupés.
Pas de vacances pour les experts en sécurité
Dans le domaine de la sécurité, un chercheur de CA a découvert un cheval de Troie capable d'enregistrer des conversations téléphoniques effectuées depuis un terminal sous Android (alors que l'OS mobile de Google a trusté 48% du marché mondial des smartphones au 2e trimestre). L'Enisa, l'agence européenne chargée de la sécurité des réseaux et de l'information, a pour sa part livré un rapport pointant 51 problèmes de sécurité sur HTML5.
Mercredi a débuté à Las Vegas la conférence Black Hat. Un professeur de Carnegie Mellon y a exposé comment on peut associer des données privées à la photo d'une personne publiée sur Internet. Quant à Microsoft, il lance un concours de sécurité, BlueHat Prize, doté de 250 000 dollars, pour développer de nouvelles technologies de lutte contre le piratage. Dans le même temps, son centre de sécurité (MSCR) livre un rapport faisant le compte des failles permettant d'exécuter du code à distance.
Enfin, les rumeurs bruissent toujours autour de la sortie de l'iPhone 5 (septembre ou octobre ?), tandis que le Canadien RIM montre de son côté cinq nouveaux smartphones sous BlackBerry 7. (...)
Black Hat 2011 : Microsoft lance le concours de sécurité BlueHat Prize
Microsoft a donné le top départ hier à un concours qui porte sur le développement de technologies de sécurité défensives couvrant les différentes classes de mécanismes d'attaques qui permettent de prendre le contrôle d'un ordinateur (en anglais : 'exploits'). Le vainqueur de cette compétition baptisée « BlueHat Prize » remportera 200 000 dollars. Le deuxième prix s'élève à 50 000 dollars. Un abonnement à MSDN Universal, d'une valeur de 10 000 dollars, est offert pour la troisième place.
Le total des sommes déboursées ainsi par Microsoft surpasse les campagnes de « bug bounty » lancées par ses rivaux pour récompenser les chasseurs de bugs. Google, par exemple, qui rémunère ceux qui le renseigne sur des failles dénichées dans Chrome, n'a encore dépensé que 110 000 dollars cette année. A ce rythme, il devrait avoir distribué près de 190 000 dollars en 2011. De son côté, Facebook, entré dans la danse cette semaine, promet 500 dollars par bug de sécurité, et davantage si la faille est plus importante.
Le défi lancé par Microsoft vise à titiller les méninges des experts pour quelque chose de plus ambitieux qu'un bug par ici ou une faille par là, soulignent nos confrères de Computerworld. « Nous voulons rendre plus difficile et plus coûteuse l'exploitation des vulnérabilités par les criminels, a déclaré Katie Moussouris, l'une des responsables de la sécurité chez Microsoft à l'occasion d'une conférence hier. « Nous voulons inviter les chercheurs à concentrer leur expertise sur les technologies défensives de sécurité ».
Pas de « bug bounty » prévu
Ce concours, qui prendra fin le 1er avril 2012, a été annoncé dans le cadre de la conférence de sécurité Black Hat qui se tient en ce moment à Las Vegas. Les gagnants seront dévoilés lors de la conférence Black Hat de l'an prochain. Katie Moussouris a expliqué que Microsoft rejetait l'idée d'un programme de récompenses pour les bugs trouvés. « De façon générale, il nous a semblé qu'englober l'ensemble des catégories [de mécanismes d'attaques] était la meilleure façon de s'engager avec la communauté de chercheurs et de protéger nos clients, a-t-elle indiqué à Computerworld. Katie Moussouris a cité des statistiques montrant pourquoi Microsoft n'avait pas besoin de programme de « bug bounty » similaire à celui mis en place par Google pour son navigateur Chrome ou que HP TippingPoint mène afin de récupérer des vulnérabilités sur de multiples systèmes d'exploitation, incluant Windows et Mac OS X, ou sur des applications de Microsoft ou d'autres éditeurs. Selon elle, 90% des chercheurs en sécurité qui communiquent des failles à Microsoft le font directement plutôt que de les soumettre à un intermédiaire tel que TippingPoint.
Katie Moussouris ajoute que les récompenses versées -qui vont jusqu'à 3 000 dollars chez Google- n'ont rien à voir avec l'argent que l'on peut se faire en les vendant sur le marché noir. Andrew Storms, directeur des opérations de sécurité chez nCircle Security, est d'accord avec elle et considère que ce concours est une idée fabuleuse. « Historiquement, la plupart des bugs leur arrivent directement. Un système de récompenses ne serait donc pas la meilleure façon pour eux d'utiliser leur argent dans ces conditions », confirme-t-il. Il apprécie l'initiative de Microsoft. « Ils engagent ici un processus de réflexion prospective et apportent l'argent à l'appui », souligne Andrew Storms. Il estime qu'il s'agit de quelque chose de nouveau et de différent et que l'industrie de la sécurité a besoin de cela. « Nous sommes dans une sorte de cage de hamster en ce moment avec les bugs ».
La technologie licenciée sans royalties à Microsoft
Les détails du concours ont été publiés sur le site de Microsoft qui espère que les chercheurs vont déboucher sur une technologie novatrice. Katie Moussouris a explique que les gagnants du concours BlueHat Prize conserveront la propriété intellectuelle de leur invention mais qu'ils devront la licencier à Microsoft sans royalties. Les dossiers éligibles devront fournir un prototype qui fonctionne sur Windows et qui sera développé à l'aide du Windows SDK. Ils seront examinés par un panel d'employés du Microsoft Security Response Center. « Microsoft sait qu'il y aura toujours des bugs dans son code, mais une technologie défensive à ajouter à ASLR et DEP [data execution prevention, une protection anti-exploit dans Windows] permettra d'éviter que ces bugs puissent être mis en oeuvre », ajoute Andrews Storms, de nCircle Security.
Néanmoins, il pourrait s'écouler des années avant que le concours ne porte ses fruits. Andrews Storms pense que la technologie pourrait apparaître dans Windows 9 ou peut-être dans une version d'Internet Explorer telle que IE 11 ou IE 12. « Windows 8 est déjà engagé sur son cycle de production » Peut-être que Microsoft pourra intégrer la technologie gagnante dans un service pack pour Windows 8, OS qui est attendu pour l'année prochaine. C'est une chose de trouver une idée et un prototype, « c'en est une autre de la mettre vraiment en oeuvre dans Windows », insiste Andrews Storms.
Microsoft fait le compte des failles permettant d'exécuter du code à distance
Dans son dernier rapport annuel sur la sécurité, Microsoft met en avant certains progrès réalisés pour réduire le nombre de vulnérabilités permettant l'exécution de code à distance. Une version corrigée, re-publiée cette semaine, est moins affirmative à ce sujet. Dans la version initiale du rapport on pouvait lire que « le nombre de vulnérabilités susceptibles de permettre l'exécution de code à distance avait considérablement baissé en termes de pourcentage et en chiffres bruts ». A sa lecture, des incohérences entre les chiffres mentionnés dans le texte et un tableau d'accompagnement ont été soulignées par nos confrères de Network World, incitant Microsoft à publier une mise à jour de son document. L'éditeur indique désormais que le nombre de vulnérabilités permettant l'exécution de code à distance a seulement « baissé en pourcentage. »
Selon le troisième rapport annuel du Microsoft Security Response Center (MSRC) qui suit les progrès réalisés dans ce domaine, au cours de l'exercice fiscal 2011, 62,8% des vulnérabilités permettaient l'exécution de code à distance, un chiffre en baisse comparé aux 70,8% de 2010 et aux 74,1% de 2008. Entre juin 2010 et juin 2011, Microsoft a publié 117 bulletins de sécurité couvrant 283 vulnérabilités, soit un total qui dépasse celui des précédentes années couvertes par le rapport. Microsoft publie le deuxième mardi de chaque mois un Tuesday Patch qui corrige une série de vulnérabilités dans de nombreux produits. Au cours de l'exercice 2010, Microsoft a publié 88 bulletins de sécurité couvrant 211 vulnérabilités dans les produits Microsoft. Selon les pourcentages fournis par la société, environ 149 de ces vulnérabilités permettaient l'exécution de code à distance. En 2011, ce nombre a grimpé à environ 178, soit 29 vulnérabilités de plus.
Les nouvelles versions moins vulnérables
Ces chiffres ne sont que des estimations et un responsable de Microsoft a refusé de préciser le nombre exact de vulnérabilités permettant l'exécution de code à distance identifiées chaque année, et de fournir des statistiques sur d'autres types de vulnérabilités. « Traditionnellement, Microsoft ne divulgue pas le nombre réel de vulnérabilités permettant l'exécution de code à distance, et ne précise pas quels types de vulnérabilités a augmenté ou diminué », écrit le responsable dans un e-mail adressé à Network World. Selon le rapport, les statistiques montrent que les nouvelles versions logicielles sont moins vulnérables que les anciennes, ce qui n'est pas une surprise. Environ 38% des vulnérabilités sont « moins graves, voire inexistantes sur la dernière version de l'application affectée que sur les précédentes. » Seulement 3% des vulnérabilités « affectent la version la plus récente, mais pas les versions plus anciennes », indique encore Microsoft.
Malgré cela, les professionnels de l'informatique et les revendeurs sont toujours accablés par le nombre croissant de patchs à déployer. S'ils appliquaient uniquement les correctifs les plus critiques pour les versions client et serveur actuelles de Windows, les utilisateurs auraient pu réduire le nombre de correctifs de 117 à 24 au cours des 12 derniers mois. Cependant, « Microsoft recommande à ses clients d'installer toutes les mises à jour de sécurité applicables », et déconseille de s'abstenir d'appliquer les correctifs les moins sensibles. « Les techniques de piratage évoluent avec le temps, et, parmi les nouvelles, certaines peuvent permettre à un attaquant de tirer parti de vulnérabilités qui étaient auparavant plus difficiles à exploiter », explique Microsoft.
Illustration : extrait du rapport publié par le Microsoft Security Research Center (MSRC)
Operation Shady Rat : McAfee révèle l'action ciblée d'un groupe de pirates depuis 2006
Le fournisseur de solutions de sécurité McAfee a publié cette semaine un rapport détaillé sur un groupe de pirates qui aurait forcé la porte de 72 entreprises, organisations internationales et organismes gouvernementaux, dans 14 pays depuis 2006, pour dérober des secrets nationaux, des documents commerciaux et autres informations sensibles. Selon le rapport, les assaillants semblent appartenir à un groupe unique agissant pour le compte d'un gouvernement, un profil qui diffère de celui de groupes d'activistes comme Anonymous et LulzSec responsables d'attaques récentes moins sophistiquées. Dans son document, l'éditeur américain racheté l'été dernier par Intel ne dit pas pour quel pays travailleraient ces pirates, contrairement à Google, qui, pas plus tard que le mois dernier, a accusé la Chine de pirater les comptes Gmail de plusieurs responsables américains de haut rang.
Ces attaques, désignées sous le nom d'Operation Shady Rat, ont été découvertes après que McAfee a eu accès à un serveur de commande et de contrôle qui a recueilli les données d'ordinateurs piratés sur lesquelles ont été conservées la trace de ces intrusions. « Après une analyse minutieuse des états de logs, nous avons été nous-mêmes surpris par l'énorme diversité des entreprises touchées, mais aussi par l'audace des attaquants », écrit Dimitri Alperovitch, vice-président de la recherche sur les menaces chez McAfee, et auteur du rapport. Ce dernier estime même qu'au cours des cinq à six dernières années, il n'y a rien eu de comparable en matière de « transfert de richesse » résultant d'une opération de piratage.
Des données de diverses natures
Parmi les données volées, on trouve un peu de tout. « Des renseignements classifiés transitant sur les réseaux gouvernementaux, du code source, des archives de mails, des informations relatives à des contrats de prospection de pétrole et de gaz, des contrats juridiques, les configurations du système de télésurveillance et d'acquisition de données SCADA (Supervisory Control and Data Acquisition), des documents de cabinets d'études et plus encore », révèle le rapport de Dimitri Alperovitch. McAfee a refusé de dire quelles entreprises et organisations avaient été touchées, mais parle « d'une entreprise sud-coréenne du secteur de l'aluminium », « du premier fournisseur d'armes du gouvernement américain », ou encore « d'entreprises d'électronique taïwanaises », entre autres. Parmi les organisations nommées, on trouve le Comité international olympique (CIO), l'Agence mondiale anti-dopage, les Nations Unies et le Secrétariat de l'ASEAN (Association des nations de l'Asie du Sud-Est). Ces organisations ne présentent pas d'intérêt économique pour les pirates, signe que ces intrusions revêtent un caractère politique, « une action menée par un Etat », pense Dimitri Alperovitch.
Un piratage qui culmine en 2009, puis décline
Le groupe de pirates a eu accès aux ordinateurs en envoyant des emails ciblés à des individus au sein des entreprises ou des organisations. Ces emails contenaient un germe d'attaque (« exploit ») qui, lorsqu'il était exécuté, provoquait le téléchargement d'un morceau de logiciel malveillant qui communiquait avec le serveur de commande et de contrôle.
En 2006, huit organisations ont subi de telles attaques, un nombre qui a grimpé à 29 en 2007, indique le rapport. Le nombre d'organisations victimes de ce piratage est passé à 36 en 2008, pour culminer à 38 en 2009, avant de décliner, « probablement en raison de la mise à disposition de contre-mesures pour empêcher ces modalités d'intrusions spécifiques utilisées par cet acteur particulier », indique l'auteur du document. La durée des intrusions est allée de moins d'un mois à plus de deux ans dans le cas du Comité olympique d'un pays asiatique dont le nom n'est pas non plus mentionné.
Source illustration : McAfee
Black Hat 2011 : de la reconnaissance faciale aux données privées
Selon des chercheurs présents à la conférence Black Hat sur la sécurité qui se tient cette semaine à Las Vegas (les 3 et 4 août), il sera bientôt possible, à partir d'une photo d'une personne prise avec un smartphone, de connaître, en quelques minutes, son numéro de sécurité sociale, plus une série de données privées, comme ses centres d'intérêts, sa préférence sexuelle et son niveau d'endettement. « La technique consiste à associer les visages d'individus pris au hasard à des images contenues dans des bases de données qui recèlent d'autres renseignements à leur sujet, et d'utiliser cette information pour trouver leurs numéros de sécurité sociale », explique Alessandro Acquisti, professeur à l'Université Carnegie Mellon, chargé de présenter ces recherches à la conférence et interrogé par nos confrères de Network World. Il doit prendre la parole demain jeudi lors d'une des nombreuses sessions proposées à Black Hat USA 2011.
S'il dispose du support logistique nécessaire, Alessandro Acquisti compte même faire la démonstration de cette technique pendant son intervention, en utilisant une application installée sur un smartphone qui exploite des bases de données hébergées dans le cloud et des logiciels de reconnaissance faciale. « La démonstration s'attachera à montrer comment trouver des numéros de sécurité sociale, mais d'autres informations comme la tendance sexuelle et l'endettement peuvent être également déduites », a t-il affirmé.
Ce que permet la surveillance numérique
Selon le chercheur, il s'agit de montrer qu'aujourd'hui, la surveillance numérique offre une passerelle qui permet, à partir de l'image d'une personne, d'accéder à des données personnelles. Selon lui, la technique ne peut aller qu'en s'améliorant du fait de l'évolution des technologies, et à mesure que ces outils de surveillance seront accessibles au plus grand nombre. Avec pour effet une réduction de plus en plus grande de l'espace privé. « C'est, je le crois et je le crains, l'avenir vers lequel nous nous dirigeons », a t-il déclaré. S'il admet que la méthode est loin d'être infaillible, il estime que les éléments pour aboutir à cette technologie se développent rapidement et pourraient être prêts pour être utilisés dans le monde réel dans un avenir prévisible. Il travaille sur des projections afin d'estimer le temps qu'il faudra pour que les technologies concernées soient assez développées pour être suffisamment fiables.
Trois orientations de recherches
Alessandro Acquisti fonde sa présentation sur trois orientations de recherches menées par son équipe. La première part des images postées sur Facebook par les utilisateurs pour faire état de leur identité. L'équipe a comparé les images de Facebook en utilisant les logiciels de reconnaissance faciale de PittPatt pour repérer d'autres photos de la même personne dans une autre base de données, celle d'un service de rencontres en ligne où les personnes s'inscrivent en général sous de faux noms. Une fois que le logiciel a établi le rapprochement, l'équipe a demandé aux intéressés de regarder les photos afin de déterminer le degré de précision du résultat. Ceux-ci ont retenu le meilleur choix réalisé par le logiciel de PittPatt pour chaque photo. Le logiciel a correctement identifié 1 membre sur 10 du site de rencontres, ce qui est, selon les chercheurs, une assez bonne performance compte tenu du fait que l'expérience s'est appuyée sur une photo unique, celle du profil Facebook « pour identifier la personne dont on connaissait l'identité ». En outre, l'étude n'a pris en compte que la meilleure reconnaissance faciale établie par PittPatt. « Si nous avions retenu les deuxièmes et troisièmes choix, cela aurait augmenté la précision », a t-il déclaré.
Dans la seconde expérience, l'équipe de chercheurs a photographié des étudiants au hasard et leur a demandé de répondre à un questionnaire. En attendant, leur photo a été comparée à d'autres bases de données en ligne pour identifier les étudiants en temps réel et trouver d'autres photos d'eux. Ils ont ensuite demandé aux étudiants de vérifier les photos trouvées : dans un cas sur trois, ils ont constaté que le rapprochement était correct.
La troisième expérience, qui est repartie des profils Facebook, a consisté à prédire les cinq premiers chiffres du numéro de sécurité sociale, puis de prédire les centres intérêts et les activités des individus. Cette dernière étape repose sur la mise en oeuvre d'un algorithme de prédiction du numéro de sécurité sociale qu'Alessandro Acquisti avait présenté au Black Hat il y a deux ans. A partir du lieu et de la date de naissance d'une personne, l'algorithme peut trouver les cinq premiers chiffres du numéro. L'algorithme essaye ensuite de deviner les chiffres restants, mais pour l'instant, il lui faut encore effectuer une centaine de tentatives pour obtenir un résultat fiable.
| < Les 10 documents précédents | Les 10 documents suivants > |