Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 381 à 390.
| < Les 10 documents précédents | Les 10 documents suivants > |
(15/07/2011 12:05:51)
Oracle va corriger 78 failles de sécurité
Oracle va publier 78 patchs sur un certain nombre de ses produits logiciels, mardi prochain. On dénombre 13 correctifs rien pour la base de données. Ils concernent plusieurs éditions, 11g R1 et R2, ainsi que 10g R1 et R2. Deux de ces vulnérabilités peuvent être utilisées sur un réseau sans identifiants de connexion.
Trois autres patchs concernent les solutions Secure Backup Oracle, dont les failles peuvent être déclenchées à distance sans authentification. Des correctifs sont aussi prévues pour sept modules de la gamme Fusion Middleware, 18 patchs concernent Enterprise Manager Grid.
Des corrections sur les produits issus des acquisitions
E-Business Suite et les logiciels de Supply Chain (gestion d'approvisionnement) disposent d'un correctif. Les solutions PeopleSoft en recensent une dizaine.
Oracle propose aussi 23 patchs pour les produits issus de l'acquisition de Sun Microsystems, comprenant GlassFish Server, VirtualBox, Solaris, Sparc Enterprise Série M et la ligne T3. Neuf des faiblesses peuvent être exploitées via un réseau sans nécessiter d'identifiant ou de mot de passe.
Le lot de patch disponible mardi prochain est à peu près de la même taille que la précédente mise à jour d'avril, qui comprenait 73 correctifs. Oracle propose des patchs pour Java SE à des dates différentes (le mois dernier pour les plus récents).
Carte bancaire, les fraudes en ligne progressent
Si le taux de fraude aux cartes bancaires reste minime, équivalent à 0,074% des transactions réalisées en 2010, il représente une somme astronomique de 368,9 millions d'euros, selon l'Observatoire de la sécurité des cartes de paiement publié par la Banque de France. 62% des infractions constatées concernent les paiements nationaux en ligne. Le montant de la fraude s'évalue à 101,1 millions d'euros, quand il n'est "que" de 36,2 millions d'euros pour les paiements aux points de vente et sur automates.
Autre signal important : les consommateurs porteurs de carte bancaire font aussi l'objet d'infractions lorsqu'ils achètent sur des sites Internet étrangers. Le taux de fraude s'élève à 1,018% pour 54 millions d'euros.
Anonymous pirate 90 000 comptes de militaires américains
L'annonce avait été faite sur Twitter et le nom de l'opération était « Military Meltdown Monday ». L'objectif a été atteint, car Anonymous a publié un torrent d'une taille de 190 Mo , qui comprend selon le média en ligne eWeek « des identifiants du personnel du CENTCOM, SOCOM, de la Marine, de l'Armée de l'Air, du Département de la sécurité intérieure, du Ministère des Affaires Etrangères et d'autres entrepreneurs du secteur privé en contrat avec le secteur de la défense. » Le groupe de pirates a rajouté qu'il était choqué par le manque de sécurité des serveurs attaqués. Il explique que sur un des serveurs, il n'y avait « pas de sécurité » et qu'il a pu prendre des données, supprimer 4 Go de code source et trouver des informations relatives à d'autres systèmes pour les attaquer.
Il s'agit de la deuxième attaque d'Anonymous sur des entreprises ayant des contrats avec le gouvernement américain. Le 8 juillet dernier, le groupe de hacker s'était attaqué à une autre société IRC Federal en lien avec les autorités militaires et de renseignements américains.
(...)(08/07/2011 17:06:13)Recap IT : Obama mort sur Twitter, Ulysse s'échoue, un jailbreakeur protecteur
Semaine agitée dans le monde de l'IT avec plusieurs affaires liées à la sécurité. Ainsi, Apple pourtant très à cheval sur ces questions-là a été victime de hackers. Certes le butin est maigre, 27 comptes piratés mais l'exploit est symbolique. Plus cocasse, un hacker du nom de Comex a annoncé le déverrouillage des versions 4.3. d'iOS et donc de l'iPad 2 (en version 4.3.3 seulement) et propose après jailbreak un patch (disponible sur Cydia) pour corriger la faille dont il s'est servi pour craquer la tablette. Une sorte de Robin des Bois de la piraterie informatique. Moins drôle, le compte twitter du média Fox News a été piraté et a annoncé la mort de Barack Obama. La chaîne de télévision s'est excusée, mais a mis en exergue les problèmes de sécurité liés au site de micro-blogging. Quelques interrogations se sont aussi fait jour à propos de l'accès des données dans le cloud au regard de certains cadre réglementaires comme le Patriot Act aux Etats-Unis. Le Parlement européen s'est ému d'un aveu de Microsoft qui pourrait sur demande transférer des données de clients européens vers des sites soumis à l'autorité américaine. Cette migration serait en contradiction avec la directive sur la protection des données. Ces affaires n'empêchent pas l'éditeur d'annoncer la mise à la retraite du support du SP1 de Windows Vista et d'Office XP qui aura lieu à l'occasion du prochain Patch Tuesday.
Sale temps aussi pour l'entreprise commune entre la SNCF et IBM avec le projet Ulysse. Après les syndicats qui estiment que ce partenariat représente des risques pour l'emploi avec une volonté de réduire le nombre de sous-traitant et d'externaliser les compétences dans des pays à bas coût, c'est au tour de la direction de l'établissement public de s'interroger sur la pérennité du projet et d'envisager sa fin. Cette affaire intervient alors que Big Blue a dévoilé son rapport remis au Président de la République en mars dernier « Pour une administration plus innovante : 6 pistes pour accompagner la transformation de l'État ». Dans ce rapport, IBM prévoit 2 milliards d'euros d'économies.
Enfin la procédure Oracle de la semaine, me direz-vous ? Et bien après les fleurets mouchetés avec HP, retour à l'épisode contre Google sur les brevets Java. La firme de Larry Ellison s'est déjà tournée vers les constructeurs de terminaux mobiles et tablettes qui utilisent Android, pour leur demander un droit de 15 à 20 dollars par terminal pour utiliser les technologies Java.
(...)
Patch Tuesday : Mises à jour moins nombreuses, mais correctifs plus denses
Le nombre de correctifs pour le prochain Patch Tuesday est plus petit que celui du mois de juin. Microsoft avait alors livré 16 mises à jour, corrigeant 34 vulnérabilités. L'éditeur fournit généralement moins de mises à jour dans les mois impairs. En mai, par exemple, Microsoft livré seulement 2 mises à jour pour réparer 3 failles.
Parmi les 4 mises à jour prévue la semaine prochaine, une sera qualifiée de « critique », notation la plus élevée dans le système de Microsoft qui en comprend 4. Les 3 autres seront affectées de la notation « important ». Le Patch Tuesday sera le troisième en nombre de correctifs proposés (22), le mois d'avril détient le record avec 64 puis vient le mois de février avec 34.
Mais le ratio failles par mise à jour sera le plus élevé de l'année, observe Andrew Storms, directeur des opérations de sécurité chez nCircle security. « Je pense que nous allons voir un bulletin avec un nombre très élevé de vulnérabilités », a déclaré Andrew Storms. « Nous avons vu cela se produire plusieurs fois cette année, notamment le mois dernier quand l'éditeur a corrigé 8 bugs dans Excel avec une mise à jour » ajoute-t-il.
Réparer les augmentations de privilèges et les détournements de DLL
Le spécialiste indique que le Patch Tuesday devrait réparer de nombreuses failles permettant soit une « augmentation de privilèges » (prendre les droits administrateurs sur une machine), mais également pour éviter des « détournements de DLL ». Sur ce dernier risque, Microsoft a publié plus d'une douzaine de mises à jour concernant ce type d'attaque.
La seule mise à jour critique prévue pour la semaine prochaine affecte Windows Vista et Seven, mais n'a pas d'impact sur XP ou sur les versions serveurs de l'OS. Andrew Storms indique que la faille corrigée était présente dans Vista, puis livrée avec Windows 7.
Trois des quatre mises à jour seront liées à Windows, tandis que la quatrième s'attachera à des problèmes dans Microsoft Visio 2003, qui a été patché en février dernier. Les 3 mises à jour qui s'appliquent à Windows Vista corrigeront des bugs dans le Service Pack 1 (SP1), édition qui prendra aussi sa retraite dès mardi prochain tout comme Office XP.
(...)
Des hackers d'Anomymous identifiés en Italie et Suisse
Les pirates d'«Anonymous» ont subitement perdu une partie de leur anonymat. La police italienne a procédé à des perquisitions visant quinze pirates de ce collectif. Ils sont accusés d'être impliqués dans des attaques contre des sites institutionnels italiens, notamment la Chambre des députés et le Sénat, et des sites de grandes entreprises, par exemple Enel et Rai. Des dizaines d'ordinateurs et des documents ont été saisis. Ils devraient permettre de remonter à d'autres membres du groupe. L'un des membres du groupe est né en Suisse et vit au Tessin. Sous le pseudonyme de «Phre», il est soupçonné d'avoir organisé et donné le feu vert aux attaques décidées par le groupe.
Au niveau mondial, le groupe de pirates s'est fait connaître par des attaques ciblées des sites de cartes de crédit américaines (Visa et MasterCard). Il est surnommé « Robin des bois ». Des opérations policières similaires ont eu lieu aux Etats-Unis, au Royaume-Uni et en Espagne.
Crédit photo : D.R.www.ICTjournal.ch (...)(07/07/2011 16:05:29)
Faux tweets Fox News : les pirates ont profité du long temps de réponse de Twitter
Le récent détournement du compte Twitter de Fox News par des pirates inconnus met en évidence les risques auxquels sont exposées les entreprises qui utilisent les réseaux sociaux et des services connexes. Pendant près de cinq heures et demie, lundi matin, ceux qui ont détourné le compte Twitter de Fox News Twitter ont pu diffuser une série de fausses informations annonçant que le Président Barack Obama avait été assassiné. Les services secrets américains enquêtent actuellement sur l'incident.
Selon une source proche du dossier, la chaîne de télévision d'information en continu américaine avait informé Twitter que son compte avait été piraté dès que les faux tweets ont été découverts. Mais les administrateurs n'ont pas pu entrer dans le compte de Fox News, le mot de passe avait été modifié et les pirates avaient désactivé l'option « changer le mot de passe ». Selon ces mêmes sources, pendant les cinq heures et demie que Twitter a pris avant de réagir, le personnel de Fox n'a eu d'autre choix que d'attendre impuissant pendant que les pirates utilisaient le compte du service Politics de la chaîne d'information. Au bout de ce temps-là, Twitter a finalement suspendu le compte et rendu le contrôle du service au personnel de Fox News, qui a immédiatement supprimé les tweets postés par les pirates. « Nous étions dans l'incapacité de contrôler le compte après qu'il a été piraté, et Twitter est resté inaccessible jusque tard lundi matin (fuseau horaire de la côte Est), » a déclaré Jeff Misenti, vice-président et directeur général de Fox News Digital, dans un communiqué. « Les faux tweets ont été retirés dès que Twitter nous a redonné le contrôle sur le compte. » Le vice-président de Fox News Digital dit également qu'il a demandé à Twitter de déterminer la nature de l'incident et de mettre en place, à l'avenir, une parade pour empêcher tout accès non autorisé de ce genre. Pour l'instant, Twitter n'a pas fait de commentaire sur l'incident.
Le piratage du compte Twitter de Fox News n'est que le dernier en date d'une série de détournement ayant affecté le réseau social. Plus tôt cette semaine, un compte Twitter de PayPal U.K avait été compromis et utilisé pour envoyer des tweets rageurs contre le service de paiement en ligne. Dans le cas de PayPal, il a fallu plus de deux heures pour retirer les tweets. On ne sait pas très bien si c'est PayPal qui a mis du temps à notifier l'incident ou si c'est la réponse de Twitter qui a été lente. Les responsables de PayPal n'ont pas pu être joints pour avoir leur avis concernant l'incident. Fox News et PayPal ne sont que deux exemples parmi d'autres des risques que peuvent représenter l'utilisation de services sociaux comme Twitter pour les entreprises, » a déclaré Rich Mogull, analyste chez Securosis. « Si votre entreprise est de taille conséquente, renseignez-vous à l'avance auprès de votre fournisseur pour savoir comment et à qui signaler un problème, » a suggéré l'analyste. « Obtenez le nom d'un contact et mettez en place une procédure d'authentification prouvant que vous êtes bien le titulaire du compte, » a-t-il ajouté. « Dans ces situations, la dernière chose que l'on souhaite, c'est d'être baladé d'une personne à une autre ou d'attendre au bout du fil que sa demande soit prise en compte. » Celui-ci conseille encore aux entreprises utilisant les médias sociaux à des fins commerciales de limiter l'accès à leurs comptes.
Selon Chester Wisniewski, consultant en sécurité chez Sophos, ces comptes sont plus facilement piratés quand la politique de l'entreprise en matière de mots de passe est faible. « Même si l'on ne sait pas exactement ce qui s'est passé avec Fox News, en général, les pirates s'attaquant aux comptes Twitter ont trouvé les mots de passe : soit ils sont trop faciles à deviner, soit trop couramment utilisés ou encore partagés entre plusieurs personnes, » a-t-il déclaré. Le consultant fait également remarquer que les réseaux sociaux comme Twitter ont l'obligation de s'assurer que les comptes de leur service sont sécurisés. « Même si le service est gratuit et que Twitter ne donne aucune garantie en matière de sécurité, il devrait fournir aux titulaires d'un compte Twitter vérifié le moyen de répondre rapidement à des problèmes de sécurité, » a-t-il estimé. Selon lui, Twitter pourrait créer un système permettant au titulaire d'un compte vérifié de signaler certains problèmes. « Le service de micro-blogging pourrait aussi songer à offrir aux titulaires d'un compte vérifié, comme Fox News, le moyen de verrouiller l'adresse mail associée au compte Twitter, afin d'empêcher les utilisateurs non autorisés à le modifier, » a-t-il déclaré.
(...)(07/07/2011 15:53:30)Google corrige des bugs dans la version test de Google+
Alors que certains bêta-testeurs enthousiastes poussent Google à ouvrir son site de réseautage social à tous dès maintenant, il semble évident que Google va commencer par résoudre quelques failles avant de rendre Google+ accessible au plus grand nombre. Google ne prendra pas le risque d'avoir à faire face à des problèmes de confidentialité dès l'ouverture de son service de réseau social, à moins de compromettre les chances de Google+ de se poser comme une alternative viable à Facebook, lequel, avec ses 700 millions de titulaires, domine le marché des réseaux sociaux.
Jusqu'à présent, les avis des bêta-testeurs sur le réseau social de Google ont été plutôt positifs, en particulier sur le plan de la conception. Selon eux, Google+ offre une manière plus facile de partager des messages et du contenu avec des groupes de personnes différents, sans avoir à passer par la liste complète de leurs contacts. D'après le récapitulatif rendu public des failles que Google s'emploie à réparer, la plupart des bugs repérés concernent essentiellement le mécanisme de blocage des utilisateurs. Par exemple, lorsqu'un utilisateur bloque une personne, celle-ci ne peut pas toujours être retirée du réseau d'amis étendu de l'utilisateur, et les messages postés par celle-ci continuent à apparaître dans le flux d'activité de l'utilisateur. De même, les messages envoyés par l'utilisateur avant le blocage restent visibles dans le flux de la personne bloquée. Par ailleurs, après avoir bloqué une personne, l'utilisateur s'affiche parfois encore dans les groupes de la personne bloquée et dans son profil, comme faisant toujours partie de son cercle d'amis. À propos de ce dernier bug, Google dit « travailler dur pour corriger ce défaut. »
Google s'emploie également à résoudre un certain nombre de bugs qui n'ont pas de rapport avec la confidentialité. Par exemple, le flux d'activité n'est pas toujours actualisé en temps réel, ou encore les utilisateurs ne peuvent pas ajouter de commentaire imbriqué à un autre commentaire. De plus, quand un utilisateur ouvre Google+, la mini-fenêtre de chat de Gmail peut s'élargir et les conversations dans les fenêtres de chat de Google+ ou de Gmail ne se synchronisent pas entre elles. Google a également annoncé qu'à compter du 31 juillet, il n'hébergera plus de profils Google privés et supprimera tous les Google Profiles à cette date. Les utilisateurs pourront restreindre l'information publique les concernant à leur nom complet et leur sexe, et garder tout le reste masqué. Ils ont également la possibilité de supprimer leur profil Google.
(...)
| < Les 10 documents précédents | Les 10 documents suivants > |