Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 471 à 480.
| < Les 10 documents précédents | Les 10 documents suivants > |
(10/05/2011 12:17:30)
Athena lance WebSure une solution qui traque les failles des sites web
Athena Global Services entend franchir une étape supplémentaire dans l'audit de vulnérabilité. « Il n'y a pas de site sans faille, le web c'est vraiment du gâteau pour les hackers et toutes les menaces possibles », explique Thierry Cossavella, le CEO du VAD (distributeur à valeur ajoutée). Athena lance donc sur le marché une nouvelle solution, capable d'auditer les sites existants et d'aider les développeurs à créer des sites moins vulnérables. Cette solution, WebSure, appartient à Athena, le moteur et les mises à jour étant d'Acunetix, son partenaire de longue date.
Une analyse réalisée en français et en anglais
WebSure comprend trois déclinaisons, une pour les PME (WebSure audit), une pour les revendeurs (WebSure indeep audit), une pour les webagencies (WebSure webagencies). La solution est en mode SaaS (software as a service), très accessible en termes de prix. Le scan on line revient à 500 euros avec deux rapports envoyés, l'un en français pour la direction de l'entreprise, l'autre en anglais destiné aux développeurs pour leur indiquer les corrections à effectuer. Pour les web agencies, la solution revient à 50 euros par mois, pour un engagement sur dix audits. Dans ce cas pas de rapport d'expertise, mais la liste complète des failles pour les développeurs.
WebSure est donc lancé comme toujours chez Athena entièrement en indirect. Au-delà de son réseau de spécialistes de la sécurité, le distributeur devrait intéresser des web agencies. Il annonce d'autres nouveautés : la mise en service de Eset version desktop Linux Nod 32, une version bêta pour Android, un système de sécurité pour smartphone et, surtout, la version 5 bêta d'Eset Nod32.
(...)
EMC World 2011 : Cloud et Big Data à la croisée des chemins
Après une édition 2010 rythmée par l'accompagnement des entreprises dans leur voyage dans le cloud, le millésime 2011 d'EMC World qui se déroule à Las Vegas a pris deux orientations : le cloud et les « Big Data ». Pour le premier, il s'agit à la fois d'accélérer l'adoption de l'informatique en nuage en mode privé, mais aussi vers le cloud hybride. Joe Tucci (photo ci-dessus), CEO d'EMC, a indiqué dans sa présentation inaugurale que 30% des entreprises ont sauté le pas vers le cloud en 2010, et que 35% supplémentaires le feront en 2011. « De plus en plus de fournisseurs de services proposent des offres de cloud public et nos clients souhaitent profiter de ces avantages et établir des passerelles avec leur datacenter ». Or pour entrer dans le cloud hybride, les clients sont confrontés à une problématique qui va devenir de plus en plus pesante, le traitement et la gestion des Big Data. « En 2010, 1,2 zetabytes de données se sont échangés, nous prévoyons dans la prochaine décennie la circulation de 35 zetabytes de données », explique Joe Tucci avant d'ajouter : « Nous sommes à l'intersection d'une énorme opportunité ». Il a rappelé que c'est dans ce cadre qu'est intervenu le rachat de Greenplum et Isilon.
Le projet Ligthning se dévoile
A ceux qui attendaient des annonces produits, le millésime 2011 d'EMC World est resté plutôt discret. Il faut dire que la présentation de la refonte de la gamme de stockage du fabricant a eu lieu au mois de janvier dernier à Londres. Pat Gelsinger (ci-dessous), président et COO de la société, a donc égrené la liste des récents lancements, la série VNX, y compris le VNXe pour l'entrée de gamme, jusqu'au VMax pour le haut de gamme. La nouveauté est intervenue sur le projet Lightning. Il s'agit d'une carte PCI express pour serveur capable d'accélérer les échanges d'entrées/sorties entre le serveur et les solutions de stockage. Ces cartes s'appuieront sur la technologie FAST d'EMC et selon Pat Gelsinger, « elles sont similaires à ce que fait Fusion-IO, même si les nôtres seront spécifiques ». Il est par contre resté évasif sur les partenaires technologiques, même si Intel travaille dans cette direction. Le rapprochement vers les serveurs a immédiatement provoqué des interrogations sur les ambitions d'EMC sur ce marché. Pat Gelsinger a été catégorique : « Nous n'irons pas concurrencer HP et IBM » et d'ajouter « dans les démonstrations, nous avons pu migrer une VM sur une baie de stockage, c'est très intéressant ». Les premières cartes ont été livrées en version bêta à certains clients testeurs.
Pat Gelsinger, président et COO d'EMC
Une division Big Data en ordre de marche
Du côté de Greenplum, acquise en juillet 2010, l'intégration a été rapide. Scott Yara, co-fondateur de Greemplum a indiqué qu'une entité spécifique a été créée au sein d'EMC, baptisée Data Computing Product Division. Celle-ci dispose de 150 salariés et prévoit d'atteindre 600 personnes d'ici la fin 2011. Côté produit, il faudra attendre le troisième trimestre pour voir apparaître une appliance de la nouvelle structure. Difficile d'en savoir plus sur le produit, Scott Yara et Luke Lonergan, CTO de Greenplum indiquent seulement que l'appliance intègrera des puces Intel et des disques standards. Autre annonce, le rapprochement avec la distribution Open Source Apache Hadoop. Cette dernière est annoncée comme plus rapide que celle existante (notamment avec Cloudera). L'objectif est à terme de construire « une brique complète d'analyse des Big Data » précise Scott Yara.
Illustration d'ouverture : Joe Tucci, CEO d'EMC.
Remise en route du PlayStation Network : Sony revient sur sa promesse
Avant le week-end, Sony a reconnu sur le blog PlayStation qu'il n'avait pas bien mesuré « l'ampleur de l'attaque » dont a été victime son réseau, et qu'il devait « effectuer d'autres tests sur ce système extrêmement complexe » avant de pouvoir redémarrer le Network. Cette dernière annonce vient contredire une déclaration faite la veille par Howard Stringer (en photo), CEO et Président de Sony, lequel assurait que son entreprise « rétablirait l'accès aux services du réseau dans les prochains jours. »
Le groupe avait aussi indiqué à ses gamers accros au PSN qu'il avait entamé « la phase finale des tests en interne, » ce qui laissait entendre que le service serait bientôt rétabli. Le retard pourrait être lié à des menaces d'attaque imminentes contre le réseau de Sony pendant le week-end, si l'on se réfère à une information évoquée au cours de la semaine par CNET. Selon ce dernier, Sony risquait de subir une autre série d'attaques ce week-end, en représailles à sa mauvaise gestion de l'attaque initiale du PSN, un point de vue partagé par de nombreux utilisateurs. On suppose qu'au premier rang des griefs des hackers à l'égard du groupe japonais figure le délai pris par celui-ci -10 jours après l'intrusion- pour informer les utilisateurs de Qriocity que leurs données personnelles, notamment financières, avaient été dérobées.
Trop complexe, mais pas assez pour les pirates
L'annonce de vendredi va à coup sûr agacer les joueurs, qui oscillent entre colère et indignation depuis le piratage du PSN. Les réactions des abonnés suites aux dernières révélations sont largement négatives, avec un net sentiment de déception. « Ma surprise est totale ! », écrit l'utilisateur @yazter, en réponse à l'annonce de Sony. Un autre joueur, @cqc555, souligne que, alors que Sony parle de son réseau comme d'un « système extrêmement complexe », celui-ci n'est assurément « pas suffisamment complexe pour empêcher les pirates de s'y introduire ». La nouvelle laisse aussi entendre que l'attaque contre les serveurs de Sony Online Entertainment (SOE) est plus grave que ce qu'en a dit jusque-là l'entreprise. Celle-ci avait d'abord annoncé que les pirates n'avaient eu accès qu'à une « base de données obsolète datant de 2007. »
D'autres rumeurs laissent entendre que le piratage pourrait être lié à une autre attaque dirigée celle-ci contre le site principal du constructeur, Sony.com. Avec plus de 100 millions de comptes utilisateurs piratés, l'intrusion dans le PSN et le SOE est sans doute la plus grave de l'histoire en termes de données volées. La société a été convoquée devant le Congrès pour s'expliquer. Au minimum, l'attaque vient renforcer le credo d'un ancien hacker : plus l'entreprise est grande, plus rude est sa chute ...
Anonymous pas impliqué, mais...
L'hypothèse de Sony selon laquelle le groupe d'activistes Anonymous serait impliqué dans l'attaque a été une fois encore démentie par l'association sur son blog AnonOps. Anonymous fait valoir qu'elle n'a aucun intérêt à voler des numéros de carte de crédit et va même jusqu'à suggérer que l'attaque a été menée par « un groupe de voleurs en ligne ordinaires ». Néanmoins, deux personnes prétendant être d'anciens membres d'Anonymous ont déclaré vendredi au Financial Times que des membres du groupe pouvaient très bien avoir perpétré cette attaque.
Illustration : Sir Howard Springer, CEO de Sony (crédit : Sony) (...)
Recap IT : Sony s'explique, la mort de Ben Laden profite aux pirates, Apple et les rumeurs
En fin de semaine dernière, Sony avait indiqué que ses services en ligne PSN et Qriocity avaient été piratés et que les auteurs s'étaient emparés de près de 77 millions de comptes utilisateurs, y compris des coordonnées bancaires. Pendant le week-end, les dirigeants de l'entreprise ont présenté leurs excuses en promettant des compensations et expliqué aussi la technique d'intrusion utilisée. Cependant le lendemain, Sony a annoncé la découverte d'une deuxième attaque sur le service Sony Online Entertainment entraînant le vol de 24,6 millions de comptes utilisateurs et quelques milliers de coordonnées bancaires. Après investigation, le constructeur japonais soupçonne fortement le collectif Anonymous d'être à l'origine de l'attaque. Ce dernier a démenti.
L'autre actualité de la semaine est la mort d'Oussama Ben Laden. Cette information a été un prétexte pour les pirates pour diffuser des logiciels malveillants et des virus à travers les sites des réseaux sociaux. Le FBI a alerté les internautes sur ce sujet. Devant ces questions de sécurité, l'Union européenne réfléchit sur la mise en place d'un espace Schengen virtuel et n'hésite pas à proposer le filtrage du Net. Microsoft de son côté a annoncé son fameux Patch Tuesday moins important en volume, mais qui corrige des failles sur Windows Server.
Terminons par le monde d'Apple, à l'heure où la Chine découvre les joies des files d'attentes pour obtenir le Saint Graal, iPad 2 produit, ironie de l'histoire, à quelques kilomètres de Pékin. La semaine pour la firme de Cupertino a été rythmée par les rumeurs sur l'iPhone 5, probablement en retard et la mise à jour d'iOS qui règle les problèmes des données géolocalisées. Enfin, un défi a été lancé aux pirates pour jailbreaker l'iPad 2.
Microsoft livre un Patch Tuesday «light» mais critique pour Windows Server
C'est une mise à jour bien plus légère que la précédente que Microsoft va mettre à disposition mardi prochain, 10 mai, pour son « Patch Tuesday » du mois. Elle vient tout de même corriger un bug jugé « critique » (le rang le plus élevé sur l'échelle qui détermine la criticité des failles) dans le système d'exploitation Windows Server, ainsi que deux vulnérabilités dans le logiciel de présentation PowerPoint. Après les 64 rustines livrées en avril dernier, il n'est pas surprenant d'en avoir beaucoup moins cette fois-ci. D'ailleurs, on a pu remarquer que l'éditeur allégeait souvent ses mises à jour les mois impairs.
Le premier correctif vient rectifier Windows Server 2003, 2008 et 2008 R2, les trois versions de l'OS serveur que Microsoft supporte encore. La faille existe même dans la nouvelle version, Server 2008 R2 Service Pack 1 (SP1). En revanche, les versions poste de travail de Windows (XP, Vista et 7) ne sont pas affectées.
En l'absence de précisions, il est impossible de dire quels sont les composants serveurs que Microsoft va corriger, indique Andrew Storms, directeur des opérations de sécurité chez nCircle Security, interrogé par nos confrères de Computerworld. « Autant lire dans le marc de café, estime-t-il. Il pourrait s'agir d'un composant Active Directory, ou bien d'un composant DHCP (Dynamic Host Configuration Protocol). » Mais puisqu'il s'agit d'un bug affectant Windows Server, Andrew Storms pense qu'il faudra probablement un jour ou deux de plus aux administrateurs réseaux pour tester la rustine avant de l'installer.
Un nouvel index d'exploitabilité des failles
L'autre bulletin de sécurité concerne donc PowerPoint dans les packs bureautiques Office XP, Office 2003 et 2007. Egalement inclus dans la mise à jour, Office 2004 pour Mac et 2008 pour Mac. La rustine destinée à l'édition PowerPoint d'Office XP sera certainement l'une des dernières : cette suite qui compte maintenant une dizaine d'années ne sera plus couverte par les mises à jour de sécurité après le 12 juillet. Les nouvelles éditions (Office 2010 sur Windows et Office 2011 pour Mac) ne sont pas affectées par le bug.
Andrew Storms parie qu'il s'agit d'une faille sur un format de fichier. « Cela n'est pas surprenant que de plus en plus de bugs PowerPoint apparaissent à un moment où les pirates réorientent leurs attaques de Word et Excel vers le logiciel de présentation ». Microsoft a corrigé trois failles sur PowerPoint le mois dernier et deux en novembre 2010.
L'éditeur de Windows a par ailleurs annoncé qu'il aller inaugurer un nouvel index pour l'exploitation potentielle des failles. L'actuel a été mis en service en octobre 2008. Il établit un classement évaluant la probabilité qu'une faille soit exploitée dans les mois suivants. A partir de la semaine prochaine, l'index distinguera les versions les plus récentes et les plus anciennes de ses logiciels. Pour convaincre de l'utilité de cette nouvelle présentation, Microsoft avance l'argument qu'il sera plus facile aux clients des plateformes les plus récentes de déterminer les risques encourus, compte tenu des fonctionnalités intégrées au sein des nouveaux produits ». Pour Andrew Storms, il est clair que Microsoft veut montrer que ses plus récents logiciels sont aussi les moins « risqués ». Et il voit se profiler des considérations marketing derrière l'argument de l'éditeur.
Dans un billet de blog détaillant ce changement, Maarten Van Horenbeeck, responsable sécurité senior chez Microsoft, avance des statistiques pour appuyer les dires de l'éditeur. Sur les 256 évaluations d'exploitabilité livrées par Microsoft sur les huit derniers mois, 97 étaient moins sérieuses et ne s'appliquait pas aux dernières versions des produits touchés. « A l'inverse, dans sept cas seulement, ce sont les versions les plus récentes des logiciels qui étaient touchées, alors que les plus anciennes ne l'étaient pas ». Cet index est publié séparément des bulletins de sécurité. (...)
Sophos acquiert Astaro, spécialiste des appliances UTM
La concentration dans le domaine de la sécurité se poursuit. L'acquisition d'Astaro par Sophos s'inscrit dans cette démarche. L'éditeur de logiciel a annoncé le rachat du quatrième fournisseur mondial spécialisé dans les appliances UTM. Astaro est basée à Wilmington au Massachusetts et dispose aussi d'un établissement à Karlsruhe en Allemagne. Il affiche des revenus de 56 millions de dollars et 30% de croissance en 2010. Aucun montant n'a été donné pour cette transaction.
Pour la concurrence, François Lavaste, président de Netasq estime que « cette acquisition est une bonne nouvelle. Elle démontre l'attractivité stratégique de la sécurité réseau et l'importance croissante des solutions unifiées. Elle est aussi la confirmation des tendances de fond de la convergence dans le secteur de la sécurité, poussées à la fois par les acteurs eux-mêmes et par les besoins clients. »
(...)(05/05/2011 13:03:57)Les « Anonymous » en ligne de mire de Sony
Un responsable de Sony, Kazuo Hirai, dans une lettre adressé à des parlementaires américains, a indiqué que les pirates ont laissé sur un serveur un dossier portant le nom « Anonymous » avec comme complément « nous sommes légion » (le slogan du collectif). Cette découverte a été faite lors des investigations sur les attaques sur les sites en ligne de Sony et en particulier sur le site Sony Online Entertainment. La firme nippone ne va toutefois pas jusqu'à accuser formellement le collectif Anonymous d'être à l'origine de cette attaque, mais l'orientation des suspicions est donnée.
Un historique d'attaques
Le groupe japonais a depuis quelques semaines en ligne de mire les Anonymous. Ces derniers avaient lancé au début du mois d'avril « #opsony », une série d'attaques par déni de service contre différents sites web du constructeur. Cette opération avait été menée en représailles contre la décision de Sony de poursuivre judiciairement des hackers qui avaient cassé la sécurité de la PS3.
Les investigations sur les récentes attaques vont se poursuivre. De son côté, Anonymous avait récemment déclaré ne pas être responsable des attaques, tout en estimant que certains de ses membres auraient piraté à titre individuel le site de Sony.
| < Les 10 documents précédents | Les 10 documents suivants > |