Flux RSS

Inscrivez-vous

Oracle livre des correctifs critiques pour Java à installer sans délai

Oracle a dû livrer un important paquet de patchs pour corriger 21 vulnérabilités critiques dans Java SE et Java for Business. La majorité des vulnérabilités que vient réparer cette mise à jour critique concernent le JRE (Java Runtime Environment). Oracle et les experts en sécurité de produits tiers exhortent les administrateurs à déployer cette mise à jour sans délai. Ces failles peuvent en effet être exploitées sans authentification, ce qui signifie que les attaquants n'auraient même pas besoin de nom d'utilisateur et de mot de passe pour en tirer profit.

Sur une échelle de 10, huit vulnérabilités affichent le degré de gravité le plus élevé, deux autres sont notées 7,6 et quatre autres 5. Selon Oracle, 13 des 21 vulnérabilités affectent les déploiements client de Java, et 12 parmi les 13 peuvent être exploitées via des applications Java Web Start et des applets Java non fiables, qui s'exécutent dans la sandbox Java avec des privilèges limités. L'une des vulnérabilités client affecte le composant Java Update spécifique à Windows. 

Trois vulnérabilités touchent les déploiements client et serveur. Elles peuvent également être exploitées par des applications et des applets non fiables, et par des données injectées à des API particulières via un service Web, par exemple. Trois autres failles ne concernent que les déploiements serveur de Java et peuvent être exploitées par l'introduction de données malveillantes dans les API de certains composants Java. Oracle précise que l'une de ces vulnérabilités a déjà été corrigée dans le cadre du correctif d'urgence publié le 8 février. Enfin, l'une de ces failles est spécifique à Java DB, un composant du Java JDK, qui n'est pas inclus dans le JRE.

La mise à jour est disponible sur le site d'Oracle, ainsi que toutes les détails la concernant.

RSA 2011 : Microsoft appelle à un Internet plus sûr et plus sain

Scott Charney, vice-président en charge du Trustworthy Computing chez Microsoft, propose une approche collaborative et coopérative de la sécurité de l'Internet et du parc informatique selon un modèle qui s'inspire des méthodes utilisées pour lutter contre les pandémies au niveau mondial. Selon lui, une série de facteurs - l'utilisation accrue d'appareils mobiles, le cloud computing, la persistance des menaces que font peser les botnets, la sensibilisation du public à la cybercriminalité, et la demande croissante pour l'amélioration de la sécurité Internet aux gouvernements - créent une occasion unique et indiquent que le moment est venu de s'engager dans un tel processus. « Nous assistons à une harmonisation croissante des facteurs sociaux, politiques et économiques. Le temps est venu pour l'industrie, les gouvernements et les individus de concentrer leurs efforts sur la sécurité Internet et la vie privée, afin de s'orienter vers un Internet plus sûr, » proclame-t-il. Consulté sur la question, Jeff Jones, directeur du Microsoft Trustworthy Computing, a expliqué que Microsoft prenait soin de ne pas s'approprier la paternité d'une quelconque solution, ou même de suggérer qu'il n'existait qu'une méthode unique. « L'idée de construire un Internet plus sûr et plus sain avec la collaboration de tous ne repose sur aucun produit ou service spécifique, » a-t-il affirmé.

Internet : le bien commun

Toutefois, en prenant l'initiative de cette entrée en matière, Microsoft espère amener les différentes parties et intervenants à coopérer pour le bien commun. Sans un travail d'équipe, les fournisseurs ou les prestataires de services peuvent développer des solutions propriétaires concurrentes qui risquent de brouiller les pistes et rendre la question plus complexe à résoudre pour les consommateurs et les entreprises, et moins profitable à l'Internet dans son ensemble. À n'en pas douter, il y aura des obstacles à surmonter. Quand il s'agit du réseau mondial, pris dans sa globalité, les lois qui régissent l'utilisation et le contrôle de l'Internet sont différentes, de même qu'il existe des différences sociales et culturelles pour déterminer ce qui est acceptable ou non sur Internet, à quoi il faut ajouter des capacités économiques et technologiques inégales pour surveiller ou bloquer les menaces.

S'inspirer de la lutte contre les épidémies

Scott Charney rapproche ces facteurs de ceux que l'on peut observer dans le domaine de la santé au niveau mondial. La médecine et les soins de santé varient d'un pays à l'autre, ils sont régis par des lois différentes, suscitent des attentes culturelles différentes, et sont confrontés à des limites économiques et technologiques différentes. Mais, cela ne n'a pas empêché la création d'un système global pour identifier et s'attaquer à des épidémies ou à des pandémies afin d'éviter qu'elles aient un impact plus large. Dans le cas d'une pandémie potentielle, l'un des premiers objectifs est de contenir la propagation de la maladie. Cela signifie que tout pays peut être effectivement mis en quarantaine - comme le Mexique pendant l'épidémie de grippe porcine H1N1 en 2009 - même si un pourcentage relativement faible de la population est vraiment malade. La santé de l'Internet peut être traitée de la même manière - par exemple en fermant le réseau Internet entrant et sortant d'un pays victime d'une épidémie de malware, afin de contenir la menace jusqu'à ce qu'un «vaccin» ou une méthode de «guérison» soit mis au point.

Ce n'est qu'une approche. Le fait est que le monde partage l'Internet et que tous - consommateurs, fournisseurs de services Internet, vendeurs de matériel et de logiciels, entreprises de toute taille et gouvernements - ont intérêt à travailler ensemble pour faire en sorte que les menaces soient rapidement éliminées, et que l'Internet reste aussi sûr et sain que possible.

Illustration principale : Scott Charney, vice-président en charge du Trustworthy Computing chez Microsoft

CA lance un service d'authentification cloud à plusieurs niveaux

Baptisée Advanced Authentication Cloud Service, la solution de CA Technologies est dotée d'un système de notation basé sur le risque, lequel lie le niveau d'autorisation à l'application que l'utilisateur souhaite ouvrir après être entré dans sa session initiale. Par exemple, un seul mot de passe peut être considéré comme suffisant pour utiliser certaines applications comme la messagerie, alors qu'une authentification plus élevée peut être requise si l'utilisateur souhaite accéder à des informations plus sensibles, comme une application de paie par exemple. « Quand l'utilisateur tape une URL, celle-ci vérifie son niveau d'authentification selon une échelle de risque, » a expliqué Lina Liberti, vice-présidente du marketing chez CA. Le niveau d'entrée initial via la plate-forme SaaS qui permet à l'utilisateur d'accéder à certaines ressources de l'entreprise, n'est pas forcément suffisant pour accéder à d'autres ressources et il est possible de lui demander de fournir un niveau d'authentification supérieur.

Une technologie par empreinte ADN de la machine

Le service est basé sur la technologie Arcot acquise par CA Technologies l'an dernier. Celle-ci a été depuis intégrée dans le produit et le service d'authentification SiteMinder Web proposé par l'éditeur. Auparavant, la technologie Arcot associée à SiteMinder ne comportait qu'un mode d'authentification à deux choix : «oui» ou «non». Cette manière de canaliser l'utilisateur n'était pas liée à des niveaux de risque estimés en fonction des différentes actions que l'utilisateur souhaitait réaliser, une fois entré dans le système. Par ailleurs, CA a annoncé que son service d'authentification cloud prenait désormais en charge ce qu'on appelle l'identification « sans étiquette ». Ce dispositif permet d'identifier la nature de l'appareil qui se connecte - que ce soit un PC, un smartphone ou tout autre appareil - grâce une méthode d'empreintes basée sur la collecte de données sur l'appareil. Cette méthode d'identification ne dépend pas de l'utilisation de cookies ou d'agents. « Il s'agit essentiellement de prendre une image instantanée de l'appareil, une sorte d'ADN de la machine, » a expliqué Lina Liberti. Celle-ci a précisé que la technique développée par l'éditeur fonctionnait avec « tout appareil à partir d'un moment où il intégrait une puce. » L'idée sous-jacente est que l'utilisateur est associé à l'appareil et que les informations d'identification peuvent être enregistrées et utilisées pour décider du niveau de risque accordé. En outre, CA indique avoir mis au point des applications pour smartphones, compatibles avec la technologie Arcot OTP, qui permettent d'ouvrir une session avec un mot de passe à usage unique.

Crédit photo : D.R.

RSA 2011 : La virtualisation, clé de la sécurité dans le cloud

Dans une allocution prononcée lors de la RSA Security Conference qui se tient actuellement à San Francisco, Art Coviello, patron de RSA (la filiale sécurité d'EMC), a apporté un peu d'optimisme dans le domaine de la sécurité dans le cloud computing. S'il a reconnu la légitimité des préoccupations des entreprises en matière de déplacement de données et d'applications dans le cloud, celui-ci a affirmé que les méthodes pour traiter ces problèmes étaient plus proches de nous qu'on ne le pensait. « Dès aujourd'hui, nous pouvons faire en sorte que le cloud soit digne de confiance, » a-t-il déclaré. Pour lui, l'une des clefs consiste à cesser de dépendre des modèles de sécurité conçus pour les infrastructures physiques. Au lieu de cela, les entreprises doivent penser à tirer parti des technologies de virtualisation pour renforcer la sécurité, la visibilité et le contrôle dont ils veulent bénéficier dans les environnements cloud.

La sécurité doit évoluer avec le cloud

« Les économies et l'adaptabilité que permet le cloud, poussent un nombre croissant d'entreprises à l'adopter, indépendamment des questions de sécurité et du contrôle dont elles peuvent disposer, » a déclaré le patron de RAS. Aussi contre-intuitif que cela puisse paraître, «si l'effet de levier agit correctement, la virtualisation peut devenir une solution pour dépasser le niveau de contrôle et de visibilité qui existe aujourd'hui dans les environnements physiques, » a-t-il estimé. « Dans le cadre du travail propre à RSA pour aller vers ces modes de sécurisation, l'entreprise a lancé un service Cloud Trust Authority, » a indiqué Art Coviello. Celui-ci tire profit des outils de virtualisation de VMware (une autre filiale d'EMC) pour délivrer un ensemble de services pour gérer les identités et surveiller la conformité dans le cloud.

Illustration : Art Coviello, patron de RSA

RSA 2011 : Symantec veut protéger les utilisateurs contre les malwares mutants

En soi, la défense antivirus basée sur les signatures devient de moins en moins efficace parce que les développeurs de logiciels malveillants sont de plus à plus habiles et parviennent à trouver des moyens pour engendrer des taux énormes de mutations de virus. Dans ce cas, le blocage des malwares par des méthodes qui reposent uniquement sur l'analyse des signatures est pratiquement impossible. « En 2009, Symantec avait dénombré 240 millions de virus et n'a pas encore fini de comptabiliser ceux en circulation l'an dernier, sans doute le double, » a déclaré Hormazd Romer, directeur du marketing produit pour le département Sécurité d'entreprise chez Symantec. « Les auteurs de malware ont adopté un modèle de micro-distribution basé sur la mutation de virus » a expliqué le responsable de Symantec. « Du coup, c'est l'explosion. »

Pour se défendre contre ces assauts, Symantec a mis au point une méthode d'identification de fichiers basée sur le cloud computing.  Baptisée Symantec Insight, elle sera ajoutée à Symantec Endpoint Protection 12. Symantec a déjà testé sa technologie Insight l'an dernier dans son logiciel antimalware grand public Norton qui analyse les fichiers téléchargés par l'utilisateur depuis un service cloud. « En évaluant les évènements rencontrés par des millions d'utilisateurs de la solution de Symantec, ainsi que d'autres facteurs, l'objectif est de déterminer le risque que présente le fichier en cours d'inspection, » a expliqué Hormazd Romer. Selon lui, il est notamment important de savoir si le fichier est connu, combien de fois il a été repéré, et de quand il date. « Ces malware mutants résistent aussi bien qu'un panaris sur le pouce, » a-t-il commenté, ajoutant que Symantec avait tracé plus de 2 milliards de fichiers en ayant à l'esprit « qu'un logiciel normal ne se modifiait pas comme ça. »

Des options activées en fonction des groupes d'utilisateurs

« Dans la nouvelle version de Endpoint Protection, l'usage de la technologie Insight est laissé à l'appréciation des gestionnaires de sécurité de l'entreprise, lesquels pourront décider de l'activer ou non, » a précisé Hormazd Romer. Insight permet au gestionnaire de sécurité d'appliquer ses propres paramètres en fonction de groupes d'utilisateurs. De même, les paramètres de la « configuration dial» de Symantec Endpoint Protection 12 permettent de choisir différents seuils de risques. Selon le niveau de risque, il est possible soit de bloquer tout type de fichiers provenant du web ou de la messagerie, soit d'informer simplement l'utilisateur que tel ou tel fichier est suspect. Un message de mise en garde peut aussi proposer à l'utilisateur de ne pas ouvrir le fichier.

La protection antivirus basée sur la signature des fichiers est toujours maintenue comme une autre une ligne de défense possible. Et pour la première fois dans une mise à jour de logiciels, Symantec ajoutera Sonar, une troisième méthode de détection basée sur le comportement et déjà introduite dans des produits grand public de l'éditeur. « Celle-ci procède à une vérification des fichiers en temps réel, et au moment de leur ouverture, ils sont exécutés dans une sandbox », explique Hormazd Romer. L'objectif de Sonar est d'arrêter tout ce qui passe au travers d'Insight ou qui n'est pas détecté par l'analyse des signatures.

Pour l'instant Symantec Endpoint Protection 12 est disponible en version bêta, la mouture finale pour Windows, Mac et Linux étant attendue cet été. Une version optimisée est recommandée pour les environnements VMware ou Hyper-V. Symantec annonce qu'elle sortira également une version distincte pour les petites et moyennes entreprises (de cinq à 99 employés), similaire, mais pas optimisée pour les environnements virtualisés et avec une gestion de console différente.

RSA 2011 : des produits et services en avant-première

- Zscaler va ajouter le support pour iPhone et iPad à son système de filtrage d'email et d'antivirus via le Cloud. « Les entreprises doivent pouvoir choisir leur politique de sécurité indépendamment du lieu ou de l'appareil utilisé », explique Amit Sinha, directeur technique chez Zscaler. Les entreprises souhaitant adopter l'iPad et l'iPhone pourront appliquer les contrôles de filtrage de Zscaler Mobile en utilisant les technologies VPN des appareils d'Apple. « Ils sont tous livrés avec un VPN. Notre solution redirige le trafic vers le nuage de Zscaler où il est filtré, » explique-t-il. « Cela ne nécessite aucun logiciel particulier. Le service coûte 1 à 3 dollars par utilisateur et par mois. »

- Détecter et stopper le détournement de trafic IP, tel est l'objectif du nouveau service de l'Internet Identity (IID). Rod Rasmussen, son président et CTO, a déclaré que l'entreprise, qui se spécialise dans la recherche de moyens pour limiter les attaques contre les routeurs Border Gateway Protocol (BGP) et les systèmes de noms de domaine (DNS), avait ouvert un service de protection appelé ActiveTrust BGP. Destiné aux entreprises et aux prestataires de services, celui-ci propose de prévenir le type d'incident BGP survenu l'an dernier, où 15% du trafic Internet mondial avait été inondé par une communication envoyée, sans doute par erreur, par une entreprise de télécommunications sous contrôle d'un État. Cette surcharge avait causé la saturation du trafic pour les sites web, la messagerie et d'autres services, affectant même les agences du gouvernement américain. La solution ActiveTrust serait capable de repérer les signes d'un accident de routage de ce type, qu'il soit involontaire ou malveillant. L'IID maintient en alerte 24H/24 et 7j/7 une équipe d'analystes de la sécurité qui peut informer immédiatement ses abonnés. « Certains essaient de détourner l'usage de l'espace IP avec de mauvaises intentions,» a affirmé Rod Rasmussen. Le service ActiveTrust BGP surveille l'information technique, notamment la manière dont les fournisseurs de service internet gèrent le trafic IP, afin de limiter tout incident, grâce également à ses contacts avec les fournisseurs d'infrastructure Internet, des institutions chargées de l'application des lois, et d'autres partenaires de la sécurité avec lesquels elle communique en vue de trouver une solution à un tel problème.

- Fortinet doit présenter son appliance FortiGate-3140B Unified Threat Management (en illustration principale). Celui-ci permet non seulement de travailler à la manière dont le fait un appareil de la série FortiGate, mais apporte en plus un moyen de profilage actif afin de repérer des comportements inhabituels au sein du trafic. L'appareil peut envoyer des alertes, procéder à des mises en quarantaine ou effectuer des blocages. L'éditeur lance également un point d'accès sans fil pour l'extérieur FortiAP-222B. La mise à jour 4.0 MR3 du système d'exploitation FortiOS 4, désormais partie intégrante des appareils FortiGate, permet une gestion unifiée des réseaux câblés et sans fil à partir d'une seule plate-forme FortiGate, ainsi que le profilage actif, l'analyse du trafic en fonction du flux et la détection de points d'accès sans fil non autorisés.

- Huawei Symantec, joint-venture entre l'entreprise chinoise Huawei et Symantec, présentera sa gamme de passerelles Secospace USG5500 destinées à fournir aux moyennes et grandes entreprises des pare-feu consolidés, le VPN, le filtrage d'URL, un antivirus, un antispam et un système de détection et de protection contre les intrusions. Selon le constructeur, la ligne supporte un débit de 30 Gb/s au niveau d'un pare-feu offrant une interface de 14 ports en 10 Gigabits Ethernet.

- BeyondTrust fera la démonstration en direct d'un utilitaire qu'elle a développé, capable d'exploiter le curseur de contrôle du compte utilisateur de Microsoft Windows 7, et montrera comment un pirate peut acquérir et tirer profit d'un niveau d'autorisation élevé. L'exploit est basé sur une faille du système de Microsoft, connu depuis juin 2009 selon BeyondTrust, mais jamais corrigée. BeyondTrust montrera comment son logiciel permet d'éviter l'exploit - elle n'a pas l'intention de rendre son utilitaire publique - et de se prémunir contre cette faille de Windows 7, et comment certains concurrents, comme Avecto, n'y parviennent pas. « Il n'est pas possible de se protéger contre cette vulnérabilité si l'on ne se place pas au niveau du kernel», explique Jim Zierick, vice-président exécutif des opérations produit chez BeyondTrust.

Check Point dévoile sa passerelle R75

Les rencontres 2011 de l'AMRAE ont mobilisé les professionnels des risques