Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 591 à 600.
| < Les 10 documents précédents | Les 10 documents suivants > |
(25/02/2011 16:08:44)
L'Europe alerte sur les cookies trop intrusifs
L'Agence européenne chargée de la cyber sécurité (Enisa) présente un rapport sur les utilisations abusives de récents cookies Internet capables de dresser le profil et la localisation de l'utilisateur à des fins publicitaires, cela en toute opacité.
L'agence explore plusieurs voies pour prémunir les internautes européens face à une éventuelle intrusion dans leur vie privée. Parmi elles figurent la nécessité d'obtenir le consentement de l'utilisateur ainsi que la possibilité de gérer ces cookies aisément. La limitation ou l'interdiction du stockage de ceux-ci hors du navigateur est prônée comme le besoin de proposer une alternative aux internautes en cas de refus de cookies.
Plusieurs sociétés dont la fondation Mozilla, Google et plus récemment Microsoft travaille sur une technologie Do not Track, une option pour les internautes qui ne souhaitent pas que les sites visités n'utilisent certaines données pour de la publicité comportementale.
L'Enisa recommande une étude approfondie de ce phénomène encore difficilement quantifiable au sein des Etats membres de l'Union européenne d'ici au 25 mai.
L'appel à une norme de log pour le cloud ne fait pas l'unanimité
La sécurité, la conformité réglementaire et la transparence des opérations et des systèmes font partie des grands défis à relever pour accélérer l'adoption du cloud, que ce soit pour les déploiements en interne, et davantage encore pour les solutions externalisées. Dans le cloud, la simple requête d'un utilisateur final peut parcourir le réseau local d'une entreprise, des serveurs externes, des cloud publics, et solliciter un certain nombre d'autres ressources avant d'être traitée. Pour beaucoup, ce parcours rend la lecture et la compréhension des logs relatifs aux opérations qui traversent les systèmes cloud hautement virtualisés, assez difficile. D'où la demande, par certains, d'une nouvelle norme pour les logs dans le Cloud. Mais celle-ci ne fait pas l'unanimité.
La question des logs au sein du Cloud mobilise depuis un certain temps l'entreprise de Misha Govshteyn, vice-président de la technologie et des solutions pour fournisseurs de service chez Alert Logic. L'entreprise, qui propose des services de sécurité et de management de logs, est encore plus concernée par le problème depuis qu'elle a pour client des fournisseurs de services d'hébergement. « Les états que nous recevons ne nous permettent pas vraiment de vérifier ce qui se passe chez eux, » explique-t-il. « Cette masse d'informations, déversée par la plupart des matériels et des logiciels, ne permet pas de savoir quelles ressources ont été sollicitées, qui a demandé le service, en quoi d'autres services ont contribué à la transaction, ou même ce qui a effectivement été utilisé par le demandeur, » ajoute t-il. C'est pourquoi, Alert Logic - avec le soutien de DataPipe, Eucalyptus Systems, Hosting.com, Mezeo Software, et Perimeter E-Security - a récemment proposé une norme, CloudLog, qui vise à simplifier la gestion des états de log pour les plates-formes Cloud et chez les fournisseurs de services.
Une meilleure visibilité et traçabilité
Actuellement en cours d'étude auprès de l'Internet Engineering Task Force (IETF) en vue de la rédaction d'un document informel Request For Comments (RFC), le CloudLog permettrait de savoir plus simplement sur quel matériel tournait telle ou telle machine virtuelle, ou à quelles ressources les utilisateurs, et leurs rôles associés, ont eu accès. « Les machines virtuelles bougent en permanence, et tournent sur différentes machines physiques. Si vous vous retrouvez avec une machine physique qui a été endommagée, c'est un vrai défi de savoir quelle machine virtuelle tournait sur cette machine physique à un moment donné, » explique John Eastman, CTO de Mezeo Software, une entreprise qui vend des services de stockage aux fournisseurs. « La seule information dont on dispose, c'est que le système tournait dans le Cloud, » ajoute-t-il. En l'état actuel, Mezeo a intégré CloudLog dans sa plate-forme Cloud Storage pour simplifier l'enregistrement des données essentielles. « Avant d'utiliser le format CloudLog, nous avons dû comprendre comment rendre cette information intelligible, parce que même si nous disposions des logs, il restait difficile d'associer un système avec les machines virtuelles, » explique le patron de Mezeo. « CloudLog nous a aidé à résoudre certaines questions de sécurité, relatives à la transparence notamment, et à identifier exactement qui utilisait telle ou telle machine virtuelle, » indique John Eastman.
Quelques réfractaires
Mais tout le monde n'est pas convaincu de la nécessité d'une standardisation. C'est notamment l'avis de Raffael Marty, fondateur et directeur de Loggly qui fournit des services de log pour le cloud. « Je tiens à souligner que le cloud, que ce soit le SaaS, PaaS, ou IaaS, n'a pas besoin d'une nouvelle norme de log ! Depuis des années, nous travaillons avec des architectures multi-niveaux et virtualisées qui sont à la base de la construction du Cloud. Aucun des attributs spécifiques du Cloud, comme l'élasticité, le paiement à l'usage, etc... n'exigent une gestion de log particulière, » écrit-il sur son blog dans un article intitulé « Pourquoi une norme de log pour le Cloud n'a pas de sens. » Selon lui, s'il y a un effort à faire en matière de log dans le Cloud, pour des architectures virtualisées, asynchrones, et distribuées, c'est plutôt du côté du standard Common Event Expression (CEE) qu'il faudrait regarder. Mais, selon Misha Govshteyn, il n'existe encore aucune implémentation du standard CEE, ni aucun projet de publication d'une quelconque spécification à l'étude. « Nous devons avancer dans cette direction,» estime-t-il.
Microsoft corrige un bug de sécurité sur son moteur d'analyse de virus
Microsoft vient de réparer dans son moteur d'analyse de malware un bug qui aurait pu être utilisé comme tremplin pour des attaques visant à prendre le contrôle d'une machine sous Windows. Le problème a été rectifié par une mise à jour du produit livrée hier par Microsoft. Il s'agissait d'une élévation du niveau de privilège qui pouvait permettre à un pirate ayant déjà accès au système Windows d'en obtenir un contrôle complet.
L'éditeur n'a constaté pour l'instant aucune utilisation de ce bug repéré par l'expert en sécurité Cesar Cerrudo, mais il pense que des hackers pourraient effectivement développer du code pour exploiter cette faille.
Un risque réel mais limité
Contacté par nos confrères d'IDG News Service par messagerie instantanée, Cesar Cerrudo, PDG de la société Argeniss, a précisé avoir signalé le bug publiquement à l'occasion de la conférence de sécurité Black Hat de juillet 2010. Mais dans la mesure où le hacker voulant profiter de cette faille devait déjà avoir accès à la machine pour mener son attaque, l'expert ne croit pas que cette vulnérabilité présente un risque majeur de sécurité pour la plupart des utilisateurs. Certes, « elle peut être exploitée à distance, par exemple sur Internet Information Server (IIS), mais l'attaquant devra pouvoir charger du code sur IIS, a-t-il expliqué. Les sites qui autorisent les utilisateurs à transmettre (upload) des pages web sont donc ceux qui sont le plus exposés ».
La version 1.1.6502.0 du moteur est concernée
Le bug a été évalué « important » par Microsoft. Un utilisateur malintentionné pourrait en tirer parti en modifiant la valeur d'une clé dans le registre de Windows qui serait alors traité par le moteur de malware lors de l'analyse suivante. Il pourrait alors l'exploiter s'il se trouve déjà sur une machine ayant les privilèges utilisateur. « Il pourrait lancer l'exécution de code et prendre le contrôle complet du système, a indiqué Microsoft dans un avis de sécurité publié hier, 23 février. La personne « pourrait installer des programmes, visualiser, modifier ou détruire des données, ou bien créer de nouveaux comptes possédant la totalité des droits d'utilisation ».
Le problème a été corrigé par la version 1.1.6603.0 du Malware Protection Engine, qui est utilisé dans les produits Live OneCare, Security Essentials, Defender, Forefront Client Security, Forefront Endpoint Protection 2010 et Malicious Software Removal Tool. La dernière version affectée du Malware Protection Engine est la 1.1.6502.0.
Les clients devraient recevoir cette correction de façon automatique, dans le cadre de la mise à jour mensuelle du moteur d'analyse des malwares. L'éditeur avait déjà signalé des bugs dans ce produit en 2008 et 2007.
Microsoft corrige en urgence sa mise à jour fatale à des mobiles Samsung
« Nous avons identifié un problème technique au sein du processus de mise à jour de Windows Phone 7 qui n'a impacté qu'un petit nombre de téléphones», a déclaré Microsoft dans un communiqué et d'ajouter « devant les inquiétudes, nous avons temporairement retiré cette procédure pour les téléphones Samsung, afin de corriger le problème et dès que possible la republier ». Celle-ci visait à préparer le processus de mise à jour globale. Elle ne comprenait pas les prochaines fonctionnalités promises par la firme de Redmond, telles que couper-coller, un outil de recherche amélioré sur le marketplace, la gestion du multitâche, etc.
Cette petite « erreur » intervient alors que Microsoft a conclu un accord avec Nokia pour équiper les prochains smartphones de la société finlandaise et que la concurrence avec les autres OS mobiles est rude. La crédibilité se joue aussi sur la fiabilité.
La destruction de fichiers sur les disques SSD problématique
Les chercheurs ont notamment mis en évidence une série de problèmes quant il s'agit de détruire des données de manière sécurisée, que ce soit l'effacement d'un disque SSD dans son ensemble ou la suppression de fichiers individuels inscrits sur ce type de disque. En premier lieu, ils font état de problèmes liés à la façon dont certains firmware de disque mettent en oeuvre les commandes ATA/SCSI pour effectuer la fonction d'effacement. Ceux-ci ont constaté que, parmi les douze disques SSD analysés, seuls quatre d'entre eux avaient complétement effacé l'empreinte utilisée pour le test. Parmi les huit disques restant, quatre ne prenaient pas en charge la fonction d'effacement des données, trois d'entre eux étant des disques amovibles USB, et l'un, crypté, n'a pu être vérifié. Trois autres disques n'ont pas permis d'aboutir : deux à cause de bugs dans le firmware, et le troisième indiquait que les données avaient été correctement effacées alors qu'elles étaient intactes et encore accessibles sur le disque.
Les résultats obtenus pour l'effacement d'un seul fichier sur un disque SSD à partir d'une série de protocoles standards de destruction ont été encore plus mauvais. Ainsi, il s'est avéré que 4 à 75% des données restaient récupérables. Dans le genre, les clés USB font piètre figure, avec un taux d'accès aux données « effacées » de 0,57% à 84,9%. L'équipe a même essayé de démagnétiser les disques avec un matériel recommandé par la NSA, pour confirmer que cette technique ne fonctionnait pas sur les disques à mémoire flash.
Une erreur d'emplacement
Le coeur du problème est que, contrairement aux supports magnétiques, les disques SSD enregistrent les données dans des pages physiques, mais effacent les blocs logiques d'adresses (LBA). Ce processus, géré par une couche appelée Flash Translation Layer (FTL), trompe le driver du contrôleur ATA ou SCSI, qui confond entre l'endroit où se trouvent les données et celui où elles résident physiquement. Le disque compense en recopiant les données et c'est cette copie qui laisse des traces qui ne sont pas effacées. « Ces différences de comportement réel entre les disques durs magnétiques et les disques SSD présentent un risque dans la mesure où il ne se produit pas la même chose et que, dans un cas, la demande de l'utilisateur n'est pas satisfaite, » disent les chercheurs. « Le propriétaire d'un disque SSD qui applique une méthode de destruction de données propres aux disques durs pense, à tort, que ses données seront irrécupérables. En réalité, les données demeurent sur le disque et il est possible de les récupérer sans avoir recours à des outils très sophistiqués. » En d'autres termes, l'hypothèse selon laquelle les techniques de destruction de données actuelles peuvent s'appliquer de la même manière sur les disques SSD et sur les supports à mémoire flash en général est aussi erronée. Parfois, cela marche, parfois non. Cela dépend de la qualité de l'intégration et s'il s'agit ou non de fichiers uniques.
La difficulté de nettoyer de simples fichiers sur des disques SSD va alerter les administrateurs IT, parce que c'est pour eux une exigence quotidienne. Comment par exemple, être sûr de détruire des clés de chiffrement, des fichiers de tableur et autres documents importants sans altérer l'ensemble du disque. Les chercheurs suggèrent plusieurs techniques qui permettraient de modifier le Flash Translation Layer (FTL) du SSD pour répondre à ces besoins en sécurité.
Google livre sa technologie Native Client aux développeurs
Google a décidé de mettre ce récent SDK dans les mains des développeurs afin qu'ils commencent à créer des applications Native Client. L'idée est d'introduire la technologie dans le navigateur Google Chrome, sans laquelle les applications restent inaccessibles aux utilisateurs. Google n'a pas donné d'estimation quant à la date à laquelle Native Client serait pris en charge par Chrome. « Notre objectif est de faire en sorte que cette technologie soit aussi portable et sûre que le JavaScript. En livrant aujourd'hui une première version remaniée du SDK Native Client, nous avons franchi une étape importante,» a déclaré dans un blog Christian Stefansen, membre de l'équipe Native Client de Google.
Les développeurs peuvent visualiser les API, consulter la documentation et avoir accès à des exemples pour écrire des modules en C ou C + + capables de communiquer avec du code JavaScript qui s'exécute dans un navigateur web. Le SDK améliore la sécurité, supprimant les restrictions d'hébergements locaux (local host) des versions précédentes. « Au-delà de la sécurité, nous avons également amélioré le mécanisme de récupération des modules Native Client sur la base du jeu d'instructions de la machine cible, afin que les développeurs ne soient plus préoccupés par cette question, » a déclaré le responsable de Google. Le kit de développement supporte également un ensemble d'interfaces nommées « Pepper, » qui ajoutent des fonctionnalités de calcul, audio, et 2D aux modules Native Client. Pepper permet aussi un meilleur accès aux plug-ins des systèmes de navigation.
Une sécurité renforcée par un code de validation
Le problème avec les applications natives, et avec les plug-ins, c'est le fait qu'ils accèdent à la totalité de la machine, et donc à tous les fichiers qu'elle contient. En conséquence, les utilisateurs doivent décider à quelles applications ils acceptent de faire confiance. Native Client de Google permet de déterminer un code pour les modules et de limiter l'accès à l'ordinateur d'un utilisateur. Notamment, NaCl offre des fonctionnalités de validation, de manière à empêcher l'exécution d'un module non valide. L'an dernier, Google avait livré un aperçu de son SDK. Dans les prochains mois, la firme de Mountain View prévoit d'ajouter des API pour la gestion graphique en 3D, le stockage de fichiers en local et le réseau peer-to-peer. Une ABI (Application Binary Interface) est également prévue. «Tant que l'ABI n'est pas stable, Native Client restera désactivée par défaut, » a déclaré Christian Stefansen. « Cependant, étant donné les progrès que nous avons fait, il est possible maintenant d'activer Native Client dans Chrome 10 via le menu « A propos des drapeaux. » Sinon, on peut continuer à utiliser la ligne de commande « flag » pour activer Native Client à la demande. »
Google a positionné Native Client comme une technologie destinée à permettre aux développeurs de profiter de la puissance du processeur du client et de créer des applications web plus riches et plus dynamiques, tout en préservant la neutralité de son navigateur, en s'assurant de la portabilité des OS et en améliorant la sécurité des applications. NaCl a été initialement construit pour être compatible avec des systèmes x86 en 32 et 64-bits tournant sous Windows, Mac OS ou Linux.
Les entreprises doivent repenser leur politique d'Identity Access Management (IAM)
Au départ, note le Gartner, adopter l'IAM en entreprises revenait à « réparer la plomberie ». Avec l'avènement du risque, les notions de respect, de responsabilisation et de transparence, cette orientation a changé avec un rôle plus actif de la part de l'entreprise. A une époque où les différentes notions et concepts cités précédemment doivent être formalisés, cela signifie une approche plus ciblée et structurée pour toutes les parties concernées, et pas seulement pour l'IT.
Cette approche de la gestion des accès et de l'authentification en tant que processus a plusieurs avantages. D'abord, cela supprime le modèle centré sur le produit. « Au lieu de considérer l'IAM comme un ensemble de produits qui seront achetés pour combler les lacunes technologiques dans une entreprise, l'application d'un processus permet de cerner les besoins des individus et la technologie IAM la mieux adaptée pour satisfaire les pratiques et les politiques de l'entreprise. Cette méthode contribue également de manière significative à la façon dont l'entreprise, sa sécurité, et son architecture sont enrichis par l'ajout d'une architecture IAM spécifique. »
Cette gestion en tant que processus aide également à identifier les questions clés qui doivent être posées lors de la sélection de produits IAM (telle que la manière dont ces produits remplissent les différentes étapes du processus spécifique). Cela permet également à une entreprise de définir ses besoins et de les cibler par ordre de priorité. Elle peut cartographier le projet d'identification au sein du business de l'entreprise pour déterminer la convergence ou les points de contact dans un but de contrôle et de renseignement.
| < Les 10 documents précédents | Les 10 documents suivants > |