Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 501 à 510.
| < Les 10 documents précédents | Les 10 documents suivants > |
(26/04/2011 12:31:16)
L'Iran pense être la cible d'un second ver
Un haut responsable militaire chargé d'enquêter sur l'attaque Stuxnet, dont l'objectif était d'infecter une centrale d'enrichissement d'Uranium en Iran, a indiqué que le pays avait été frappé par une second ver, appelé Stars. Pour l'heure, si l'on manque de détails sur cette attaque, il semble qu'elle ait été dirigée vers des systèmes informatiques spécifiques au pays. « certaines caractéristiques du ver Stars ont été identifiées, et l'on sait qu'il est compatible avec le système ciblé », a déclaré le général Gholam-Reza Jalali, dans un rapport publié lundi par l'agence de presse iranienne Mehr.
L'Iran a tenté de consolider ses cyberdefenses depuis qu'il a été frappé par le ver Stuxnet l'an dernier. Ce dernier est soupçonné d'avoir été conçu pour saboter l'usine nucléaire de Natanz. Considéré pour être l'un des vers les plus sophistiqués jamais écrit, Stuxnet cherche et sabote des systèmes industriels spécifiques en les faisant fonctionner d'une manière dangereuse.
De l'espionnage informatique, selon les experts
La semaine dernière, Jalali Gholam-Reza a blâmé Siemens, dont les systèmes industriels ont été ciblés par Stuxnet. Il a demandé au groupe allemand d'expliquer pourquoi et comment ce dernier avait fourni aux ennemis de l'information sur les codes du logiciel Scada et ainsi préparé le terrain pour une cyber-attaque contre son pays. Siemens a répondu à cette accusation hier. « Nous n'avons pas participé à la création de Stuxnet », s'est défendu Michael Krampe, porte-parole du constructeur, dans un e-mail Il a ajouté que cette accusation était sans fondement et que l'Iran n'avait pas formé de recours en justice contre Siemens.
L'agence de presse Mehr a également révélé que des experts informatique iraniens étudiaient encore le malware et que des cyber-experts de l'Ouest doutaient que l'Iran ait véritablement trouvé un ver. « Nous ne savons pas si, en Iran, les officiels ont juste détecté un ver ordinaire Windows en l'annonçant comme s'il s'agissait d'une cyber-guerre», a pour sa part estimé Mikko Hypponen, chercheur chez F-Secure, dans un billet de blog posté lundi dernier. « Ceci ressemble davantage à de l'espionnage informatique qu'à du sabotage cybernétique », a t-il déclaré dans une interview par messagerie instantanée. « Nous voyons du cyber espionnage tout le temps. Mais nous n'avons eu affaire qu'à une seule attaque du type de celle de Stuxnet. »
Illustration : Le général Jalali Gholam-Reza. Crédit photo : D.R
(...)
iPhone et smartphone Android : téléphonez, surfez, vous êtes pistés
On savait les applications mobiles peu discrètes sur la vie privée des consommateurs, il en est finalement de même pour les smartphones. En effet, deux articles dans des journaux anglo-saxons citant des chercheurs montrent que l'iPhone et les terminaux fonctionnant sous Android sont de vrais mouchards. Ces mobiles sont en effet capables de conserver une trace des déplacements des utilisateurs. Pour le terminal d'Apple et plus exactement l'iPhone 4 et l'iPad sous iOS 4, selon le Guardian, Alasdair Allan et Peter Warden, deux chercheurs ont montré qu'il était relativement facile de trouver ces données dans un fichier système de l'iPhone, appelé consolidated.db. Cette base de données recense la position géographique de l'utilisateur et l'horodatage des informations. Les chercheurs constatent aussi que la durée de conservation des données court sur un an. Les analystes ne pensent pas que le groupe de Cupertino utilise ses données. En revanche, ils critiquent le fait que ce fichier ne soit pas crypté et pourrait être potentiellement accessible à des personnes malveillantes.
Android pas plus discret, mais moins intrusif
Pour respecter le parallélisme des forces, des spécialistes en sécurité ont cherché si les smartphones et les tablettes sous Android étaient plus discrets. Il n'en n'est rien, le Wall Street Journal a indiqué que ces terminaux enregistraient eux aussi les déplacements des utilisateurs. Cependant, par rapport à Apple, les mobiles et ardoises numériques sous Android conservent les cinquante dernières antennes de téléphonie mobile et les 200 derniers points d'accès WiFi détectés. De plus, la durée de stockage est de 50 jours. (...)
Une défaillance du cloud d'Amazon plante plusieurs sites web
Amazon a commencé à signaler des problèmes sur son tableau de bord à 5 heures du matin (heure locale) hier. A 5h16, le site signalait des problèmes de connectivité affectant son service de bases de données relationnelles qui sert justement à gérer les bases de données relationnelles dans le Cloud pour plusieurs zones de l'Est des États-Unis. Amazon a également signalé des problèmes avec son service Elastic Compute Cloud (EC2) qui offre des capacités de calcul à la demande pay-as-you-go dans le nuage. La société a aussi signalé des problèmes avec l'Elastic Block Store (EBS), le système de stockage lié au service EC2. « Tôt ce matin, un événement sur le réseau a déclenché une mise en miroir d'une grande quantité de volumes EBS dans l'US-EST-1, » indiquait Amazon à 11h54 hier matin. « Ce mirroring a entraîné une pénurie des capacités dans la zone US-EST-1, empêchant la création de nouveaux volumes EBS et affectant nos disponibilités pour effectuer le re-mirroring nécessaire pour récupérer les volumes EBS touchés. »
Amazon a également déclaré qu'un de ses systèmes de contrôle en interne pour l'EBS a été surchargé et qu'il était devenu difficile de créer de nouveaux volumes et instances EBS en arrière-plan. « Nous travaillons aussi vite que possible pour accroître la capacité de la zone et accélérer l'opération de mirrorring, comme nous nous efforçons à rétablir le contrôle sur l'EBS », a ajouté l'entreprise. « Nous commençons à voir les premiers effets de ces efforts, mais l'affaire n'est pas encore réglée. Nous allons continuer à effectuer des mises à jour au fur et à mesure que nous progressons. »
Les critiques du cloud commencent
L'impact de la panne est assez étendu, surtout pour certains sites web 2.0 populaires. Sur le site de Quora, on pouvait lire : « Nous faisons actuellement face à une panne inattendue, et nous travaillons pour disposer d'un site de secours dès que possible. Merci pour votre patience. » Les sites HootSuite et Foursquare ont également été touchés, de même que Reddit, sur lequel les utilisateurs peuvent lire : « Amazon connaît actuellement une dégradation de ses services. Ils y travaillent. Nous comptons toujours sur eux pour restituer nos volumes. Nous sommes désolés. »
Certains utilisateurs ont fait part des désagréments causés par Amazon et son cloud sur Twitter. « Le cluster d'Amazon sur l'Est des États-Unis est toujours en rade, et certaines de nos données avec. Voilà pour la fiabilité des services cloud », a écrit tweeted @ Thierry_G. « Les instances et les volumes EBS d'Amazon sont encore en panne. Faut se préparer à mettre en route nos serveurs de sauvegarde GoGrid, » dit quant à lui @steve_dine.
Les applications métiers et les logiciels de sécurité ne sont pas si sûrs selon Veracode
En effet, selon le rapport sur l'état des logiciels de sécurité établi par Veracode après évaluation de 4 835 applications sur une période de 18 mois, 58 % de toutes les applications soumises à l'éditeur ont été jugées de « qualité inacceptable sur le plan de la sécurité. » Plus étonnant encore, 72 % des logiciels de sécurité se voient aussi qualifiés de la sorte (il s'agit du deuxième plus mauvais score après les logiciels de support client qui atteignent 82%) . « De nombreux dirigeants croient qu'en dépensant 500 000 dollars pour un logiciel de sécurité vendu par un éditeur important, ils disposent d'un produit intrinsèquement sûr, » dit Gunnar Peterson, architecte en sécurité logicielle et CTO de la société de conseil en informatique Arctec Group. « C'est absolument faux, et je pense que de nombreux cadres dirigeants l'ignorent, » ajoute-t-il.
Apprécier la qualité du développement des logiciels est une affaire compliquée, et certains analystes pensent que les données faisant état de niveaux bruts de vulnérabilité ne permettent pas de prendre en compte les efforts réalisés par les éditeurs. « Il serait intéressant de mettre ces données en corrélation avec la taille et la complexité des applications évaluées, » estime Pete Lindstrom, directeur de recherche chez Spire Security. Il n'en reste pas moins que Veracode pointe du doigt la prise de conscience des développeurs pour corriger certaines vulnérabilités. Les exemples de RSA, Comodo montrent que des attaques traditionnelles comme des injections SQL peuvent avoir raison des logiciels de sécurité les plus élaborés.
Des standards et des corrections
Le rapport constate également que les secteurs de la finance et du logiciel requièrent un mode de vérification plus formel, voire inclut un contrôle de la qualité des logiciels des fournisseurs tiers. Si l'on combine ces deux critères, on voit que 75% des entreprises demandant l'évaluation de la qualité des logiciels de leurs fournisseurs sont concernées. « Nous voyons également une augmentation de la demande de la part de l'industrie aérospatiale et de celle de la défense, » explique Sam King, vice-président du marketing produit chez Veracode. « Ces industries commencent à exiger, pour leurs logiciels, un niveau de sécurité équivalent à celui qu'elles attendent de leur chaîne d'approvisionnement physique», explique-t-il.
D'autres résultats font apparaître que, pour ce qui est de la conformité avec le « Payment Card Industry Data Security Standard », les entreprises ont beaucoup à faire. Cette norme de sécurité exige que des applications personnalisées, impliquées dans le traitement, le stockage ou la transmission de données relatives aux cartes de crédit, soient testées pour repérer 10 défauts logiciels déterminés par l'Open Web Application Security Project (OWASP), également connu sous le nom de OWASP Top 10. « Nous avons constaté que 8 applications sur 10 ne passeraient pas ce palmarés et seraient recalées à un audit, » explique Chris Eng, directeur senior de la recherche sur la sécurité chez Veracode.
Heureusement, Veracode donne aussi quelques encouragements aux entreprises qui souhaitent améliorer la sécurité de leurs applications. Selon le fournisseur de service, la correction des défauts ne devrait pas prendre beaucoup de temps. D'ailleurs, parmi les entreprises qui ont soumis à nouveau leurs applications après avoir pris des mesures pour en corriger les défauts, 80 % ont atteint, au bout d'un mois, ce que Veracode considèrerait comme un niveau de qualité acceptable.
Avec IPSx, Sourcefire veut rendre la prévention d'intrusion accessible à tous
Selon Cyrille Badeau, directeur régional Europe du Sud de Sourcefire, « ce produit permettra de démocratiser une technologie encore considérée comme exclusivement réservée aux grandes entreprises disposant d'équipes de sécurité expérimentées, et non accessible aux entreprises de petite ou de moyenne taille ». En substance, l'IPSx, est une version allégée du système Snort qui a fait la renommée de l'entreprise, une sorte de « Snort light en boîte.»
Le produit s'adresse aux PME qui ne seraient normalement pas tentées d'acquérir un système de prévention contre les intrusions. L'idée qui a motivé cette offre est bien fondée : les systèmes IPS ont été inventés pour répondre aux besoins des grandes entreprises qui souhaitent détecter les tentatives de piratage qui se produisent dans les réseaux et donc au-delà du rayon d'action des pare-feu protégeant du monde extérieur. Le problème est que les petits réseaux et les PME n'ont pas le personnel de sécurité formé pour configurer ou savoir utiliser une telle application et encore moins trouver les ressources considérables nécessaires pour la financer.
Une boîte pré-configurée
IPSx résout en partie ce problème en proposant des fonctionnalités conçues pour les grands réseaux sous forme de règles pré-définies pour détecter les alertes IPS en utilisant sa base utilisateurs Snort très pointue. Plus besoin ici de gestion des politiques avancée, ni d'édition de règles Snort ou de gestion de la charge de travail, ni encore d'évaluations de l'impact. Dans sa version light, Sourcefire a conservé les rapports essentiels et les alertes, a maintenu la politique d'actions pré-définies, et le système de détection des intrusions que l'on trouve dans des produits plus chers vendus par l'éditeur.
Face aux alertes, les administrateurs disposent d'une interface plus simple qui les redirige vers la documentation en ligne où ils trouvent le détail de ce qui s'est passé et comment le système de détection a traité la menace. D'après SourceFire, l'interface est tellement simple qu'un technicien du pare-feu peut mettre l'IPSx en fonction en moins de 30 minutes. « La technologie d'IPS a été conçue pour fournir le meilleur niveau de sécurité que peut attendre une équipe d'analystes en sécurité, » a déclaré Leon Ward, Field Marketing Manager chez Sourcefire, lequel a expliqué que l'entreprise avait l'ambition d'étendre son activité au-delà de ce secteur. « L'IPSx fait de nous de grands agitateurs, » a t-il ajouté.
Par ailleurs, la société a également annoncé une nouvelle série d'appliance qui vise à résoudre un autre problème de l'IPS, à savoir la difficulté de faire du peering sur un réseau sans augmenter la latence. Les Appliances de la série 8000 comportent une technologie d'accélération appelée FirePower, laquelle offrira une protection IPS en temps réel de 20Gbits/s, selon l'entreprise.
Une orientation audacieuse
Malgré sa réputation et le bien-fondé de son système Snort, Sourcefire pourrait quand même avoir du mal à généraliser l'IPS pour tous. Les administrateurs des services informatiques des PME ne verront pas forcément l'intérêt d'investir dans une technologie qui révèle des problèmes de sécurité dans le réseau interne, alors que d'autres sont convaincus que l'IPS n'est jamais suffisamment simple pour être confié à un personnel non expérimenté. La notion d'entrée de gamme dans l'IPS est également très relative, puisque le prix du kit de démarrage IPSx250 s'élève à 18 245 dollars, capteur inclus. Ce tarif passe à 35 245 dollars pour la version IPSx1000. Même les PME de taille importante ne jugerons pas cette dépense comme prioritaire.
Pendant ce temps, d'autres constructeurs et éditeurs essaient de proposer de l'IPS aux PME sous forme de systèmes de gestion unifiée des menaces (UTM) pour le back door, censés réunir un ensemble de technologies de sécurité dans un seul package. De ce point de vue, l'IPSx de Sourcefire propose une perspective tout à fait différente de la «boîte magique» tout en un.
Disponible à partir de début mai en même temps que la série 8000, l'IPSx se décline en trois modes fonction du débit - 250Mbt/s, 500Mbt/s,1Gbt/s - et comporte chacun une console de gestion distincte.
La signature électronique d'un zip zappée par la justice
Voilà une jurisprudence récemment publiée qui va faire hurler plus d'un spécialiste de la signature électronique et plus d'une entreprise répondant de manière dématérialisée à un appel d'offres dans le cadre d'un marché public. Le tribunal administratif de Toulouse a, dans le cadre d'un litige opposant le CNRS et le cabinet MC2I, jugé que, en l'état actuel du Droit, la signature électronique devait être apposée sur chaque document transmis dans le cadre d'une réponse à un appel d'offres. Signer numériquement un conteneur zip intégrant tous les documents de réponse n'est donc pas valable, pratique qu'avait suivi MC2I.
Signer « en bloc » l'ensemble des documents contenus dans un conteneur zip est pourtant plus rapide et plus simple. Lorsque de très nombreux documents sont envoyés, ce qui peut arriver dans une réponse à un marché public, la pratique est moins fastidieuse qu'une signature individuelle de chaque document. De plus, tous les formats de documents ne supportent pas nativement une signature électronique et devoir signer chacun implique, dans la pratique, de tout transmettre en format PDF et de rejeter les formats de type image par exemple.
Une prévention ministérielle
Sur le plan technique, la signature électronique, garantissant l'intégrité du tout, un conteneur zip en l'occurrence, assure nécessairement l'intégrité de chaque partie de ce tout, donc chaque fichier contenu dans le conteneur zip. Mais la signature veille aussi à garantir l'approbation du signataire. De ce fait, il faut certifier que ce dernier a bien approuvé chaque document et pas seulement leur regroupement dans un conteneur. Le ministère de l'Economie a d'ailleurs rappelé ce point dans un communiqué en juillet dernier.
Le tribunal a donc estimé que la décision du CNRS d'écarter la réponse de MC2I à son appel d'offres était fondée. De plus, s'il pouvait demander une retransmission signée convenablement par MC2I, le CNRS n'y était nullement obligé.
Le raisonnement du tribunal ne reposant que sur une interprétation de l'article 1316-4 du Code Civil, cette jurisprudence peut être étendue à tous les échanges du domaine privé.
| < Les 10 documents précédents | Les 10 documents suivants > |