Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 491 à 500.
| < Les 10 documents précédents | Les 10 documents suivants > |
(28/04/2011 16:55:14)
Selon AppSec, la notation d'Oracle sur ses failles minimise le standard CVSS
« Oracle minimise le risque de ses vulnérabilités, » a expliqué Alex Rothacker, directeur de la recherche sur la sécurité chez AppSec. « En conséquence, les entreprises qui se fient aux taux de vulnérabilité communiqués par Oracle pour programmer les mises à jour système peuvent être amenées à retarder de manière inappropriée l'application de certains correctifs critiques, » a-t-il expliqué. Tous les trois mois, Oracle livre des patchs, seuls ou en bundle, destinés à corriger des vulnérabilités récemment découvertes dans ses produits logiciels. L'éditeur note la gravité des vulnérabilités selon la norme Common Vulnerability Scoring System (CVSS) en cours dans l'industrie.
La préoccupation essentielle d'AppSec tourne autour de la notation unique ajoutée par Oracle dans sa grille CVSS, et nommée Partial +. Normalement, l'échelle du CVSS s'échelonne entre 1 et 10 pour rendre compte de manière globale de la gravité d'une vulnérabilité. Le score correspond lui-même à la moyenne d'un ensemble de notes qui permettent d'évaluer différents aspects de la gravité d'une vulnérabilité. Dans ces sous-évaluations, la notation du CVSS prend notamment en compte les dégâts que pourraient causer des logiciels malveillants du fait de cette vulnérabilité. Si tel logiciel malveillant, appelé « exploit informatique», ne peut endommager que l'application attaquée, alors il peut en général être affecté d'une note Partielle. Mais si l'exploit peut commettre des dommages sur le système sous-jacent, alors la vulnérabilité devrait bénéficier d'une note Complète, laquelle rend compte de davantage de facteurs de risque.
Une notation détournée
« Dans sa notation, Oracle n'utilise presque jamais l'échelle Complète, » a déclaré Alex Rothacker. « La plupart du temps, l'éditeur utilise sa propre notation Partial +, ce qui, dans les évaluations d'Oracle, équivaut à une note Partielle, » a-t-il ajouté. Dans certains cas, Oracle utilise la notation Partial + pour une vulnérabilité de la base de données, qui, selon le chercheur, équivaut à une vulnérabilité au niveau du système. « En réalité, si la base de données d'Oracle se trouve installée sur un serveur, vous n'exécuterez pas SharePoint sur le même serveur. Vous disposez d'un serveur de base de données dédié, » explique encore Alex Rothacker. Oracle reconnait que certains utilisateurs peuvent vouloir recalculer les notes CVSS si un logiciel de leur environnement récolte un Partial +. Dans un récent message publié sur un blog, Eric Maurice, patron sécurité d'Oracle, a déclaré que l'éditeur reconnaissait que certaines entreprises choisissaient de « gonfler discrètement le score de base quand celui-ci était affecté d'une note Partial+ par Oracle. » Les responsables d'Oracle n'ont pas voulu faire de commentaires à ce sujet.
Des évaluations indispensables aux entreprises
De nombreuses entreprises se fient aux évaluations CVSS afin de décider quels correctifs appliquer en priorité. En entreprise, l'application d'un patch sur un logiciel donné doit être accompagné de nombreux tests pour s'assurer que le logiciel fonctionne correctement dans son environnement une fois la mise à jour effectuée. « Il est très difficile pour une entreprise de patcher tous ses systèmes. Elle donne priorité à tel ou tel correctif, selon le niveau de gravité. Elle appliquera les patchs corrigeant les vulnérabilités vraiment les plus critiques en premier, » a encore déclaré Alex Rothacker. Selon lui, un Partial+ peut avoir un certain impact, dans le cas par exemple de deux vulnérabilités presque identiques, identifiées dans la pile réseau de la base de données d'Oracle par un chercheur de l'AppSec. A l'une des vulnérabilités, « Oracle a attribué une note de 5 dans l'échelle CVSS et pour l'autre, une note plus sévère de 7,8, toujours selon l'échelle CVSS, alors que les deux vulnérabilités différent l'une de l'autre d'un seul octet, » a expliqué le chercheur en sécurité Esteban Martinez Fayo, dans un blog. La principale différence entre les deux notes s'explique par le fait que celle de rang inférieur en terme de gravité a reçu une note Partial + tandis que l'autre a reçu une note Complète.
Crédit photo : D.R.
[[page]]
Bien sûr, AppSec a intérêt à ce que les responsables de la sécurité réévaluent les avis publiés par Oracle. La société propose un logiciel d'audit et de conformité pour vérifier la sécurité des bases de données, et propose même sa propre notation pour requalifier la gravité des vulnérabilités de la base de données d'Oracle. Mais la société connait parfaitement les vulnérabilités d'Oracle : ses chercheurs ont trouvé quatre des six vulnérabilités de la base de données d'Oracle, corrigées par le dernier patch de la dernière mise à jour.
D'autres analystes s'inquiètent des pratiques d'Oracle
AppSec n'est pas la seule à s'interroger sur la notation unique Partial+ établie par Oracle. « En créant la note Partial +, Oracle a en effet créé son propre système de mesure, » a déclaré Adrian Lane, directeur de la technologie et analyste pour la société de recherche en sécurité Securosis. L'analyste, qui a également abordé la question dans un post récent, fait remarquer que le CVSS ne fournit peut-être qu'une estimation de la gravité de la vulnérabilité, mais il sert encore de référence aux administrateurs. « En changeant la base d'évaluation du CVSS, Oracle a porté atteinte à l'unité de mesure standard, » a-t-il déclaré. Adrian Lane estime, comme Alex Rothacker, qu'une vulnérabilité qui affecte toutes les tables d'une base de données doit être considérée comme une vulnérabilité au niveau du système. « Si la vulnérabilité affecte seulement quelques tables, alors elle devrait être considérée comme une vulnérabilité partielle, mais si elle touche la base de données toute entière, un exploit pourrait perturber toute la plateforme, et devrait de ce fait être qualifié par une note Complète, » estime-t-il également.
(...)(28/04/2011 11:40:24)Après son incurie, Sony conseille à ses clients PSN de changer de mot de passe
Sony pense que parmi les données obtenues par les pirates à l'occasion de l'intrusion survenue entre le 17 et le 19 avril se trouvent des noms, des adresses postales et électroniques, des dates de naissance, des identifiants, des mots de passe et des réponses à des questions de sécurité. La société japonaise déclare qu'elle ne peut "exclure la possibilité" que des données de carte bancaire aient été dérobées: numéros et dates d'expiration, mais non les codes de sécurité présents au dos des cartes.
"Quand le PlayStation Network et les services Qriocity seront réactivés, nous vous recommandons [...] de changer vos identifiants", conseille la société dans une note publiée sur les sites officiels PlayStation et adressée par e-mail aux utilisateurs de ces services.
"[N]ous vous encourageons à rester vigilant sur l'évolution de vos données de compte, votre crédit ou toutes autres données", poursuit la note. PlayStation estime que "les services seront partiellement rétablis sous sept jours", a écrit le 26 avril Patrick Seybold, directeur de la communication de la marque.
Changer son mot de passe, un minimum...
Christopher Boyd, un expert en sécurité informatique de la société GFI Software, nous a indiqué que cette intrusion était "extrêmement grave" et que Sony "n'avait d'autre choix que de tout faire pour limiter les dégâts" en fermant son réseau après la découverte de l'intrusion le 20 avril. "Garder un oeil sur son compte pour repérer tous les débits illicites est une bonne idée, mais il est crucial que tous ceux qui utilisent le même mot de passe pour plusieurs sites changent tous leurs identifiants."
L'une des méthodes efficaces pour décider d'un nouveau mot de passe est de penser à une phrase que l'on aime bien et de prendre la première lettre de tous les mots. L'ajout de chiffres ou de symboles peut en augmenter la sûreté.
(...)(27/04/2011 16:37:24)Apple va faire le ménage dans le stockage des données de localisation des iPhone
Après les dénégations de Steve Jobs « Apple ne piste personne », la firme de Cupertino est revenue sur la polémique qui a fait surface la semaine dernière juste après l'annonce des résultats trimestriels de la société. Deux chercheurs ont indiqué avoir trouvé un fichier au sein des iPhone et iPad qui stocke les données géolocalisées des utilisateurs. Ces informations sont conservées pendant 1 an et ne sont pas sécurisées. D'autres chercheurs avaient trouvé dans une moindre mesure le même comportement sur les smartphones sous Android.
Apple vient d'annoncer que la découverte des chercheurs était liée à un bug sur son OS. En conséquence, le constructeur a expliqué sur son site que dans quelques semaines, il mettra à disposition une mise à jour d'iOS. Cette évolution réduira le volume de données géolocalisées stockées, donnera la possibilité de désactiver cette sauvegarde et de supprimer cette mémoire cache quand le service de localisation est éteint. Enfin, Apple indique que dans une autre version d'iOS, ces données seront chiffrées pour garantir leur intégrité.
Avec Cyberprotect, SDN International marie sécurité et assurance
Les récentes affaires d'intrusion des systèmes d'information du ministère des Finances français, de la division RSA d'EMC, de la Commission européenne, de l'Agence Spatiale européenne, de WordPress et enfin de Sony, soulignent la précarité des systèmes informatiques. Spécialisé dans les solutions de télésurveillance pour la sécurité informatique des entreprises, l'éditeur SDN International a choisi de marier surveillance du réseau et assurance avec son offre Cyberprotect. Le produit qui s'adresse aux TPE-PME comme aux grandes entreprises combine prévention, assistance et assurance du réseau informatique.
La problématique n'est pas nouvelle. Les services Internet sont devenus courants dans les entreprises et il n'est plus question de bloquer tous les usages annexes, car les salariés trouveront toujours un moyen de les contourner. Il ne s'agit pas pour autant de ne plus rien contrôler, mais de sécuriser les accès même si un simple antivirus et un pare-feu ne suffisent plus à protéger l'entreprise. Quand certains comme Palo Alto Networks propose des solutions toujours plus sophistiquées pour analyser les paquets IP suspects et bloquer les flux sortants non autorisés, SDN propose une appliance (Cyberprotect Box) surveillant tous les logs (10 postes ou adresses IP à surveiller pour 700 euros environ) et une garantie financière en partenariat avec Nassau assurances (de 150 à 500 k€) pour couvrir les dégâts causés par un virus ou une intrusion informatiques.
Une sécurité supplémentaire
Dans les faits, Cyberprotect ne vient pas remplacer un firewall mais assure la traçabilité des flux qui permet de fournir une preuve à son assureur en cas de sinistre informatique. Des rapports sont envoyés au centre de télésurveillance de SDN qui assure une veille 24 heures sur 24, 7 jours sur 7 de la sécurité informatique et en cas de menace potentielle celui-ci analyse la situation et évalue le risque en fonction de la politique sécurité de l'entreprise.
Fondée en 2005 en région Rhône-Alpes par des ingénieurs spécialisés en sécurité, Thierry Lambert et Mikael Masson, complétés par des spécialistes en assurance, SDN International emploie aujourd'hui une dizaine de personnes pour un chiffre d'affaires de 600 k€ environ.
(...)(27/04/2011 15:00:37)
L'affaire FTC/Google Buzz pourrait tuer le e-commerce
Des partisans de la protection des renseignements personnels et certains fonctionnaires de la Federal Trade Commission (FTC) mettent la pression pour que l'accord sur Buzz devienne une norme de confidentialité en ligne. Or, une disposition de l'accord proposé serait "véritablement meurtrière" pour le reste de l'industrie du e-commerce, a déclaré Steve DelBianco, directeur de NetChoice, société regroupant des associations de commerçants, des entreprises de commerce électronique et des e-consommateurs.
L'accord proposé par le régulateur américain impose à la firme de Mountain View d'obtenir « un consentement express et positif » de ses utilisateurs pour« tout partage additionnel ou complémentaire » de renseignements personnels avec des tiers, si le nouveau partage constitue un changement dans les pratiques de Google.
Si cette disposition devient un standard pour l'industrie et qu'elle est mise en application par la FTC, cela exigera de toutes les entreprises en ligne qu'elles obtiennent l'autorisation de leurs clients même en cas de modifications mineures sur la façon dont elles partagent l'information avec des partenaires ou d'autres entreprises, s'inquiète Steve DelBianco. Pour lui, face à de telles exigences, il sera difficile pour les réseaux sociaux et les sites de contenu en ligne de déployer des innovations et de rendre payant ce qui était gratuit....
Une obligation de consentement pour toutes les données
Les appels pour que la décision de la FTC devienne un standard en matière de vie privée ne peuvent pas être autorisés à produire des effets secondaires sur le reste de l'industrie, uniquement parce que Google a fait quelque chose de non approprié, s'indigne le directeur de NetChoice. Pour ce dernier, cette obligation s'appliquera à toutes les données concernant les utilisateurs, et pas uniquement à des informations personnelles identifiables. Il estime également qu'il n'existe aucune limite à ce sujet. « S'agit-il de changements importants ou matériels ? » s'interroge Steve DelBianco « Non il s'agit bien de n'importe quel type de changement ».
En mars dernier, la FTC avait reproché à Google d'avoir violé sa politique de confidentialité, au moment du lancement de Buzz, en utilisant les informations fournies pour Gmail à une autre fin. L'organisme de régulation avait donc demande à ce que la firme de Moutain View se soumette tous les deux ans à un audit indépendant de ses pratiques en matière de confidentialité et ce pendant 20 ans.
Une obligation qui aura peu d'impact sur Google
L'accord imposé par la FTC devrait avoir peu d'impact sur Google, qui tire une grande partie de ses recettes publicitaires sur ses fonctions de recherche et d'affichage, juge Steve DelBianco. « Google n'a pas besoin de partager quoi que ce soit avec des tiers », affirme ce dernier. « La firme est si grande qu'elle peut dicter ses conditions à des parties tierces .» Le dirigeant considère également que la plupart des autres entreprises de commerce électronique proposent des services qui partagent des données non sensibles avec des tiers. Le facteur décisif ici, est que le reste de l'industrie en ligne va se trouver en situation encore plus difficile pour pouvoir rivaliser avec Google, si le règlement s'appliquant à Buzz vaut pour le reste de l'industrie, redoute ce denier.
Google n'est pas un membre de NetChoice. Ce dernier regroupe des acteurs comme AOL, eBay, Oracle et Yahoo.
De leur côté, Jeffrey Cheste, partisan de la vie privée et Katie Ratte, avocate au sein de la Division vie privée et protection de l'identité à la FTC, ont minimisé les préoccupations de Steve DelBianco.
Le point de l'accord que la FTC souhaite normaliser porte sur le respect par Google de la mise en oeuvre d'une politique de confidentialité complète, explique Katie Ratte. De plus, le point portant sur le consentement met l'accent sur le partage des informations par Google qui est contraire à la politique de confidentialité de l'entreprise, a t-elle ajouté. Pour la juriste, l'accord empêchera Google d'apporter des modifications rétroactives à sa politique de partage des données, politique qui est similaire aux accords sur la vie privée conclus par la FTC.
Pas d'obligation de consentement pour des changements mineurs
Cette disposition est un peu plus limitée que la lecture que Steve DelBianco en a fait, précise Katie Ratte. D'après l'avocate, si le partage des informations avec des tiers est réalisé d'une manière cohérente en fonction de ce qui a déjà été divulgué au consommateur, il n'y aura pas besoin d'exiger la permission de ces derniers.
Les défenseurs de la confidentialité font pression pour des changements se rapportant à cet accord et ils espèrent qu'une version plus stricte de celui-ci deviendra un standard de l'industrie, a déclaré Jeffrey Chester, directeur du Center for Digital Democracy. Toutefois, ce dernier ne voit pas les spécialistes de la confidentialité obliger les sites Web à obtenir l'autorisation de consentement chaque fois qu'ils font des changements routiniers, tels que la maintenance des comptes.
« Je pense que ce dont nous parlons est le processus même de la révision du profil des consommateurs lié au marketing», conclut Jeffrey Chester. « C'est là où je veux en venir, sur l'incorporation et l'utilisation continue des données des utilisateurs à des fins de marketing ciblé. Chaque fois qu'une entreprise vendra des données, rendra des informations disponibles à la vente ou intégrera des informations supplémentaires sur ses utilisateurs, elles devront obtenir leur permission. »
Illustration : Steve DelBianco, directeur de NetChoice. Crédit photo : Netchoice
(...)
Sony incapable de protéger ses abonnés PlayStation contre un piratage massif
Sony a expliqué sur son blog que son service en ligne PlayStation Network était en maintenance. Cette fermeture a comme origine une intrusion comme l'indique les réponses du constructeur japonais dans la FAQ sur le site officiel de la Playstation « Nous avons découvert qu'entre le 17 et le 19 avril 2011, une intrusion illégale et non autorisée à eu lieu dans notre réseau. » En clair un ou des pirates ont réussi à s'introduire sur le site en ligne et ont eu accès aux informations personnelles de près de 77 millions d'abonnés.
Toujours dans le même souci de transparence, Sony précise « nous pensons qu'une personne non autorisée à eu accès aux: nom, adresse (ville, pays, code postal), adresse email, date de naissance, mot de passe et login PlayStation Network/Qriocity, et l'ID. Il est aussi possible que vos informations de profils soient touchées, incluant l'historique de vos achats, les quatre derniers chiffres de votre carte de crédit, sa date d'expiration et l'adresse de facturation. Si vous possédez des comptes secondaires, les mêmes données sont concernées. Si vous avez fourni vos données de carte bancaire au travers du PlayStation Network ou des services Qriocity, il est possible que votre numéro de carte bancaire (excluant le code de sécurité) et sa date d'expiration soient concernés. »
Face à ces risques de fraudes ou d'usurpation d'identité et même si Sony affirme ne pas avoir eu écho pour l'instant d'une mauvaise utilisation des données volées, le constructeur a décidé de fermer le site depuis le 20 avril dernier et a diligenté une enquête via une société spécialisée dans le domaine de la sécurité pour connaître la faille utilisée par les pirates. Bien que le japonais affirme « avoir pris des mesures pour renforcer l'infrastructure de son réseau en reconstruisant son système pour fournir une meilleure protection des données personnelles », les services PSN et Qriocity resteront fermés jusqu'à la résolution de l'enquête et la sécurisation des infrastructures.
La sécurité des services en ligne en question
Après le plantage du cloud d'Amazon la semaine dernière, cette affaire du piratage des services en ligne de Sony pose la question de la sécurité et la fiabilité de la dématérialisation des échanges. Pour Xavier Garcia, directeur commercial de Clearswift « depuis un peu plus d'un an, nous assistons au développement d'attaques ciblées qui sont capables de contourner les protections des antivirus, comme l'a montré l'attaque sur le ministère des Finances en France. » Le dirigeant pointe également du doigt les faiblesses de recourir à des sociétés tiers pour s'occuper du stockage des données bancaires « il existe un standard PCI pour contrôler les risques sur ces données sensibles, l'outsourcing de ces flux par une société qui n'est pas une banque peut-être problématique ». Pour éviter ces fuites de données, il n'est pas nécessaire de renforcer la protection a posteriori « la plupart des signatures d'attaques ne sont pas repérées par l'antivirus », il faut se focaliser sur les flux sortant et contrôler que les paquets qui sortent ne contiennent pas des données sensibles » conclut Xavier Garcia.
Crédit photo D.R.
La Préfecture de Paris rénove la gestion de son parc de vidéosurveillance
Le Projet de Vidéoprotection pour Paris (PVPP) est un projet de vidéosurveillance de l'ensemble du territoire parisien qui repose, d'une part, sur 1100 caméras pilotables (orientation, zoom) propres et, d'autre part, sur les réseaux de vidéosurveillance de partenaires comme la SNCF et la RATP. Cette vidéosurveillance est, de plus, couplée à un SIG (système d'information géographique). Les forces de police peuvent ainsi surveiller en continu une action en passant d'une caméra à une autre repérées sur un plan, sur le domaine public surveillé par des caméras orientables, ou sur le domaine d'un partenaire avec les caméras fixes de celui-ci. Bien entendu, les partenaires ne peuvent pas, en retour, accéder aux caméras de la police.
Le projet PVPP est porté par la société Iris-PVPP, filiale de Ineo et Citelum, dans le cadre un partenariat public-privé (PPP) signé le 21 juillet 2010 avec l'Etat après un dialogue compétitif de 16 mois. Ce PPP est conclu pour une durée de 16,5 ans, c'est à dire une année et demi de mise en place et quinze ans d'exploitation. Au bout des quinze ans, l'ensemble de l'outil appartiendra à l'Etat. Outre les 1100 caméras, le PVPP repose sur un réseau propre de 400 kilomètres de fibres optiques. L'outil est destiné à être utilisé par 2500 opérateurs via 270 stations déployées et disponibles 24 heures sur 24, 7 jours sur 7.
« Etant donnée la durée du contrat, celui-ci inclut l'obligation pour l'opérateur de mettre en permanence les équipements au niveau de l'état de l'art » insiste Thierry Leblond, directeur de projet du PVPP et ingénieur général de l'armement. Comme tout PPP, celui-ci implique le paiement par le concédant (l'Etat ici) d'un loyer financier, d'une maintenance liée à un niveau de qualité de service avec des pénalités en cas de non-respect par l'opérateur, le gros entretien incluant le renouvellement des équipements et les frais de fonctionnement de la structure porteuse. Certaines évolutions sont également possibles en termes de fonctionnalités contre un financement complémentaire. Thierry Leblond expose ainsi : « certaines évolutions sont mêmes anticipées comme l'accès en mobilité aux images, par exemple par un QG sur un site d'intervention. »
La durée d'exploitation et l'intervention de partenaires, dont le nombre devrait s'accroître, a poussé les autorités à exiger l'emploi de normes ouvertes et, autant que faire se peut, de technologies libres. Ce choix vise à garantir l'interopérabilité et la pérennité de l'outil. L'interface homme-machine s'appuie ainsi sur du full web aux normes W3C.
Codec H264 pour l'instant, Theora à terme
Les flux vidéos sont, pour l'instant, générés en analogique et convertis en flux numériques par des encodeurs situés dans des commissariats sélectionnés. Thierry Leblond précise les raisons de ce choix : « les encodeurs numériques embarqués dans les caméras sont moins bons que les encodeurs autonomes et, d'autre part, nous évitons ainsi la présence d'équipements dotés d'adresses IP sur le domaine public ». Tout équipement relié par un tel protocole serait en effet, a priori, d'une manière ou d'une autre, un jour ou l'autre, piratable. Or il ne peut pas être envisagé que des délinquants détournent des images ou, pire, substituent des images de délits par des images d'une situation calme. Thierry Leblond refuse, par sécurité, de s'étendre sur les scénarios d'atteintes au système envisagés lors de la conception du PVPP.
La résolution de l'image est ainsi limitée à 704 par 576 pixels et n'est donc pas HD. « Il fallait tenir compte de ce qui existait sur le marché au moment de l'appel d'offres » explique Thierry Leblond. Ne pas employer la HD interdit de fait de zoomer sur les images a posteriori. « Mais le zoom se gère à l'origine de l'image » remarque Thierry Leblond. Les caméras analogiques choisies permettent en effet une focalisation ou un zoom en moins de 300 ms et les performances vont encore s'améliorer. Des caméras numériques ou HD ne seraient pas capables aujourd'hui de telles performances.
[[page]]
La problématique de la maturité des normes dans l'industrie explique aussi le choix du codec H264 (ISO 14496, MP4) qui est sous brevet de la MPEG-LA. Ce codec n'est pas libre mais était le seul assez mature. Il était d'ailleurs cité dans la version 0.98 du Référentiel Général d'Interopérabilité. Cependant, ce choix est transitoire. La compatibilité avec le codec libre Theora a été imposée pour tous les applicatifs et son adoption n'est donc qu'une question de temps dans le cadre de l'évolution normale du projet.
L'emploi de fibres optiques dédiées peut sembler un peu exagéré et coûteux lorsque des images de cette qualité sont véhiculées. Thierry Leblond justifie ce choix : « il est impossible d'écouter un flux transmis sur une fibre optique sans que cela soit repéré et donc sans déclencher d'alerte. Et, s'il y a surcapacité volontaire des infrastructures pour l'instant, elle vise à absorber des nouveaux services (ajout de la voix et de données par exemple) et des évolutions de l'outil. Nul ne sait de quoi l'état de l'art sera fait dans quinze ans... Aux tarifs actuels, le prix de location d'un réseau capable de desservir le système PVPP est du même ordre de grandeur que le loyer global du contrat de partenariat PVPP. Il est donc paradoxalement plus avantageux d'investir dans l'infrastructure que d'utiliser les infrastructures existantes. »
Pas de reconnaissance automatique pour l'instant
Le choix de technologies de pointes a cependant des limites. La surveillance du territoire de la ville de Paris va ainsi rester pour l'instant manuelle. Aucun système de reconnaissance automatique d'agression ou de visages n'est implémenté au démarrage de l'outil, même si cette possibilité n'est pas exclue à terme. Thierry Leblond juge en effet : « les fausses alertes sont beaucoup trop nombreuses avec ces systèmes, surtout lorsque les caméras sont mobiles à 360° comme les nôtres. » Une telle implémentation supposerait de toutes façons un examen du projet par la CNIL.
Les leçons prodiguées par la CNIL au sujet du désastreux fichier STIC bourré d'erreurs et aisément détourné, notamment à des fins politiciennes lors de campagnes électorales, semblent cette fois avoir été retenues. L'accès au PVPP sera en effet tracé (qui fait quoi et quand) et les utilisateurs authentifiés par une carte à puce professionnelle.
Intégration de flux de partenaires et conservation des données
L'une des particularités du projet réside dans l'intégration de réseaux partenaires, notamment pour l'instant les caméras de la RATP et de la SNCF. Ces caméras sont fixes et il n'y a donc pas lieu de gérer des priorités dans leur pilotage entre les opérateurs du partenaire et les opérateurs de la Préfecture de Police. La cartographie d'implantation des caméras du partenaire est accessible via le SIG du PVPP. Là encore, le choix de standards ouverts de la famille XML a facilité l'interopérabilité et la pérennité du PVPP.
Filmer en temps réel peut certes permettre de repérer des délits afin d'envoyer des forces de police sur place. Mais il faut également être capable de remonter à la commission d'un délit qui n'avait pas été repérée en direct par les opérateurs. Et les vidéos produites en justice doivent être garanties contre toute altération. Les vidéos sont donc conservées sur 30 jours. Les enquêteurs, spécialement habilités à cette fin, peuvent donc naviguer dans cet historique. En cas de besoin, des huissiers d'extraction peuvent alors procéder à la création d'un extrait qu'ils signeront numériquement et sera stocké soit dans un coffre-fort électronique soit sur un support non-réinscriptible.
Sony confirme le vol des données personnelles d'abonnés PSN
Sony a confirmé l'attaque informatique réalisée à l'encontre de son service en ligne PlayStation Network (PSN), utilisé par les possesseurs de PS3 et PSP pour jouer et acheter des jeux en ligne. L'enquête du groupe électronique japonais a déterminé le vol potentiel de données personnelles des quelque 70 millions de membres du service dont leurs noms, mots de passe voire coordonnées bancaires.
La compagnie alerte les abonnés au PSN face à des possibilités d'usurpation d'identité. Fermé le 20 avril dernier, le portail reste indisponible jusqu'à la fin des investigations des experts enrôlés par la firme. Le jeu en réseau et l'achat dématérialisé de contenus sont donc inaccessibles jusqu'à nouvel ordre. La brèche découverte touche le PSN mais également Qriocity, service de musique de Sony.
(...)(26/04/2011 15:12:36)Des robots américains en mission d'assistance au Japon
Pendant 5 jours, une équipe de roboticiens américains du Centre pour la Recherche et la Sauvetage (Crasar) a déployé, dans deux villes japonaise ayant subies de gros dommages suite au tsunami du 11 mars dernier, trois véhicules sous-marins télécommandés afin de retrouver des victimes parmi les débris. En effet, six semaines après la catastrophe, parmi les 14 000 personnes déclarées mortes, 12 000 sont toujours portées disparues. Parmi elles, on pense qu'un certain nombre ont été emportées par la mer.
Les robots ont été appelés à la rescousse pour venir en aide aux plongeurs dépêchés par les Gardes Côtes Japonais, dans des secteurs jugés trop dangereux pour eux. « Notamment pour éviter aux plongeurs de se retrouver coincés sous des débris flottants ou d'être emportés vers des zones dangereuses, » a déclaré lors d'une conférence de presse Robin Murphy, directeur du Center for Robot-Assisted Search and Rescue (Crasar), basé à l'Université A & M du Texas, qui a dirigé l'équipe de roboticiens au Japon.
Un robot très spécialisé
Un SARbot de Seabotix (voir illustration principale), une société basée à San Diego, a été utilisé pour chercher sous les débris. Le robot peut être littéralement jeté à l'eau et se mettre au travail immédiatement. Équipé d'un sonar, d'une caméra vidéo, et de puissants projecteurs, le véhicule télécommandé (ROV) est connecté via un câble à une unité de contrôle qui tient dans une mallette. Celle-ci comporte un écran de 20 pouces et un ordinateur (Intel Core2 Duo) intégrant un touchpad, plus un joystick pour manoeuvrer le véhicule.
Pendant sa sortie, le robot est allé examiner le toit d'une maison qui flottait en mer. « Nous avons pu envoyer le robot sous le toit, dans les débris, pour voir si quelque chose se trouvait en dessous, » a déclaré Jesse Rodocker, l'opérateur de SeaBotix. Ce dernier a également montré la vidéo d'une voiture immergée. Le ROV a permis de confirmer qu'il n'y avait pas de victimes à l'intérieur et de récupérer le numéro de sa plaque d'immatriculation. Dans certains cas, le robot a également été utilisé pour remonter des éléments à la surface grâce à son bras articulé capable d'attraper et de soulever des objets pouvant peser jusqu'à 100 kg. Un autre robot, l'AC-ROV, un véhicule télécommandé, venu d'Écosse cette fois - « essentiellement une caméra vidéo montée sur des propulseurs » - a été utilisé pour examiner les débris.
Des corps toujours hors de portée
Au cours de cette mission de 5 jours, les engins n'ont pas trouvé de victimes. Les sauveteurs pensent que les corps toujours dans l'eau sont probablement empêtrés dans des débris, hors de vue et de portée des plongeurs et des robots. L'autre objectif de la mission consistait à scanner les fonds marins pour localiser de gros débris restés sous l'eau qui pourraient mettre en danger la navigation des bateaux. Ces contrôles sous la surface constituaient une étape essentielle avant la réouverture des ports.
A Minamisanriku, c'est un ROV de Seamor équipé d'un sonar qui a été chargé d'effectuer ce travail. À la surprise de l'équipe, celui-ci n'a pas trouvé beaucoup de débris sur le fond marin et presque tout ce qui a été repéré ne représentait pas un danger pour les navires. « Tous les filets de pêche, toutes les cordes, se trouvaient à 5 mètres de profondeur minimum, sauf une structure déjà bien visible au-dessus de la ligne d'eau, » a déclaré Robin Murphy.
Cette mission particulière du Crasar au Japon - elle a été financée par la US National Science Foundation - vient s'ajouter à une série d'autres déjà effectuées dans le passé. Ainsi, le centre avait été le premier à mettre en oeuvre ses robots terrestres sur le site du World Trade Center à New York peu après les attaques terroristes du 11 septembre 2001. L'équipe avait également déployé de petits véhicules aériens après l'ouragan Katrina et des robots sous-marins après l'ouragan Wilma.
(...)| < Les 10 documents précédents | Les 10 documents suivants > |