Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 71 à 80.
| < Les 10 documents précédents | Les 10 documents suivants > |
(16/02/2012 12:27:02)
La fraude à la carte bancaire sur Internet explose selon UFC-Que Choisir
Alors que le nombre de paiements par cartes bancaires a progressé de 30% depuis 2002, la fraude sur les achats sur Internet ne cesse d'augmenter, s'indigne UFC-Que choisir. En 2010, ce taux s'établissait à 0,276% et était 23 fois plus élevés qu'une fraude effectuée lors d'un paiement physique. Pour résumer, l'association consumériste souligne qu'un euro de fraude est comptabilisé sur Internet tous les 360€ dépensés.
En France, lorsque les internautes effectuent des paiements nationaux sur Internet, il y a 1,18 fraude réalisé à chaque minute, souligne l'UFC-Que choisir qui s'appuie sur les études de l'Observatoire de la sécurité des cartes de paiement. Dans ce contexte, les paiements de proximité, ceux que les consommateurs réalisent chaque jour auprès des commerçants, s'affichent comme les plus sûrs, puisqu'il n'existe qu'un taux de fraude de 0,012%, pour l'année 2010. Pour les internautes, le danger s'accroît encore davantage s'ils passent commande à l'étranger. Le taux de fraude s'élève à 1,36% en 2010. Il a cru de 102% entre 2006 et 2008.
Une fragmentation des dispositifs de sécurité
Face à ce constat, l'UFC-Que choisir s'interroge sur l'efficacité du dispositif 3D Secure, qui consiste à mettre en place un système d'authentification pour vérifier si l'internaute est bien un client et non un fraudeur. « Plutôt que d'avancer vers un système unifié, chaque banque a joué sa partition et développé son propre système. Cette cacophonie a multiplié les abandons d'achats » souligne l'UFC.
A quelques jours de la remise du rapport Constans et Pauget sur l'avenir des moyens de paiements, l'association consumériste formule plusieurs idées pour défendre les consommateurs face à cette recrudescence de fraudes à la carte bancaire. L'organisme propose la mise en place obligatoire d'un système d'authentification unique « après concertation entre banquiers, commerçants et représentants des consommateurs ». Par ailleurs, il est conseillé que les banques envoient systématiquement les confirmations de paiement sur Internet via les espaces personnels des sites bancaires et par SMS ou email.
Mozilla veut révoquer les certificats SSL des autorités intermédiaires
Mozilla va demander à toutes les autorités de certification de reconsidérer leur politique vis à vis des autorités intermédiaires. Sinon la Fondation envisage de révoquer les certificats, y compris ceux qui pourraient être utilisées par les entreprises pour inspecter le trafic SSL chiffré pour des noms de domaine qu'elles ne contrôlent pas. Cette menace est pour l'instant encore en phase de discussion. Mozilla veut répondre ainsi à Trustwave, qui a affirmé récemment que l'utilisation de tels certificats pour gérer le trafic SSL (Secure Sockets Layer) au niveau des réseaux d'entreprise était courante.
Depuis une semaine, les débats vont bon train pour savoir comment réagir à la position de Trustwave, et s'il faut poursuivre cette autorité pour violation de la politique de confiance. Finalement, Mozilla a décidé de demander à toutes les autorités de certification de faire leur propre ménage, et donc de supprimer et de révoquer ces certificats intermédiaires concernés. « Nous voulons faire clairement savoir que nous ne tolèrerons pas le chaînage des autorités intermédiaires aux certificats racines dans le Network Security Services (NSS) de Mozilla. Nous avertissons préalablement toutes les autorités et nous leur accordons un délai. Nous les mettons également en garde sur les conséquences éventuelles d'un tel comportement de leur part, si elles n'y remédient pas avant la fin de cette période, » a déclaré Kathleen Wilson, la responsable du module de certification de Firefox, dans un message posté sur Bugzilla.
Un délai de mise en conformité débattu
Le délai accordé aux autorités de certification pour effectuer cette inspection et révoquer les certificats litigieux actuellement utilisés pour le trafic SSL en entreprise n'a pas encore été fixé. Mais, selon Kathleen Wilson, celui-ci pourrait être de deux ou trois mois. Passée cette période, toute entreprise qui continuerait à utiliser un tel certificat verrait sa clé racine supprimée des produits Mozilla et tous leurs certificats portant des signatures antérieures entraineront une erreur lors de l'ouverture dans le navigateur. « Ce délai de grâce est nécessaire car les entreprises ayant déployé des solutions utilisant des certificats intermédiaires pour surveiller le trafic sur leurs réseaux sont probablement de très grandes entreprises qui ont besoin de temps pour mettre en oeuvre des solutions alternatives, » a déclaré Kathleen Wilson sur la liste de diffusion mozilla.dev.security.policy.
Cependant, selon Amichai Shulman, CTO de l'entreprise de sécurité Imperva, ces trois mois ne seront probablement pas suffisant pour effectuer de tels changements. « Un délai de six mois serait plus raisonnable, » a-t-il estimé. De nombreuses entreprises inspectent le trafic chiffré SSL sur leurs réseaux afin de prévenir les fuites de données ou détecter les violations des politiques de sécurité mises en place en interne. Celles-ci génèrent leur propre certificat racine et le déploient sur l'ensemble de leurs postes clients. Le temps dont elles auraient besoin pour se mettre en conformité avec la demande de Mozilla varie en fonction du nombre et du type de dispositifs qu'elles utilisent.
[[page]]
Le CTO d'Imperva se dit par ailleurs surpris de la déclaration de Trustwave, selon laquelle cette pratique est courante dans l'industrie. Selon lui, l'appel à des autorités intermédiaires pour surveiller les communications au sein de l'entreprise est irresponsable, compte tenu des conséquences désastreuses au cas où un tel certificat serait dérobé. « Mozilla est en droit d'exiger la fin de cette pratique, » a-t-il ajouté.
Étendre le domaine de la lutte
Toutefois, Amichai Shulman pense que Mozilla aura besoin de l'appui des autres éditeurs de navigateur Internet pour faire appliquer cette mesure. En cas de violation de ces règles, Mozilla supprimera de ses produits le certificat émis par l'autorité de certification concernée. La conséquence, c'est que les utilisateurs ne seront plus en mesure d'accéder aux sites sécurisés par les certificats de cette autorité particulière. « Si les utilisateurs ne voient pas les mêmes messages d'erreurs qui les empêchent d'accéder à ces sites dans tous les navigateurs, ils penseront que le problème vient de Firefox et utiliseront un autre navigateur, » a déclaré le CTO d'Imperva.
D'autres intervenants sur la liste de diffusion mozilla.dev.security.policy ne sont pas d'accord avec ce délai de grâce. Parmi les motifs invoqués, ceux-ci estiment que les entreprises qui surveillent le trafic SSL pourraient tout simplement cesser de le faire jusqu'à ce qu'elles trouvent une solution alternative. D'autres pensent que Mozilla ne devrait pas prévenir les autorités de certifications pour leur demander de cesser une pratique qui viole clairement sa politique. « Mozilla a des règles et il n'y a aucune raison d'exiger quelque chose qui répond à sa politique, » a déclaré Eddy Nigg, CTO de StartCom et de StartSSL dans un courriel posté sur la liste de diffusion. « La politique de Mozilla n'a pas changé et je conseillerais à l'éditeur de l'appliquer. C'est aussi simple que ça. »
Recrudescence des attaques en déni de service selon Arbor Networks
Selon une étude annuelle réalisée par Arbor Networks, spécialisée dans les solutions de sécurité, les attaques par dénis de service perpétrées par des hacktivistes sont très en vogue. Les motifs, en témoignent les récentes actions lancées par des groupes comme Anonymous, sont avant tout idéologiques, suivis par un désir de nuire, souligne le rapport. « En 2011, nous avons assisté à la démocratisation des attaques par dénis de service », relève Roland Dobbins, Solutions Architect chez Arbor Networks et auteur principal de l'étude.
« Toute entreprise ayant une présence sur le web, quelle que soit son domaine d'activité ou sa taille, peut devenir une cible en raison de ce qu'elle représente, ce qu'elle vend, avec qui elle collabore, etc. De plus, la prolifération d'outils d'attaques peu chers et faciles d'accès fait que n'importe qui peut désormais lancer une attaque par déni de service».
Les 1ères attaques sur IPv6 rapportées
« Les « appels aux armes » lancés par des groupes d'hacktivistes, qui ont été jusqu'à fournir les outils nécessaires pour participer aux attaques, représentent un changement de paradigme dans les modèles de gestion des risques à la fois pour les opérateurs et pour leurs clients », note encore Arbor Networks.
Arbor Networks relève par ailleurs que l'attaque la plus importante rapportée en 2011 a atteint 60 Gbt/s, comparé à 100 Gbt/s pour 2010. Toutefois, la sévérité moyenne des attaques, qui atteint environ 10 Gbt/s, est en constante augmentation. Enfin, les premières attaques par déni de service sur des protocoles IPv6 ont été rapportées.
ICTjournal.ch
Twitter active le https par défaut
« Dorénavant, l'https sera la connexion par défaut pour tous les utilisateurs à chaque fois qu'ils se connecteront à Twitter.com », a annoncé le site de micro-blogging dans un billet de blog daté du 13 février. « Si vous préférez ne pas l'utiliser, vous pouvez la désactiver via votre page de paramètres de compte. La connexion https est l'une des meilleures façons de sécuriser votre compte et elle va devenir encore plus efficace à mesure que nous continuerons d'améliorer le support https pour nos clients web et mobiles ».
D'autres sites sont passés en https automatique
Google avait également suivi cette méthode. Les connexions sécurisées étaient en option sur Gmail en 2008 avant de décider en janvier 2010 que « l'activation de l'https pour tout le monde était la meilleure chose à faire ».Depuis janvier 2011, Facebook offre également à ses utilisateurs la possibilité de mieux sécuriser leurs données via une connexion https « toujours activée » (en option). Enfin, l'Electronic Frontier Foundation (EFF) a développé une extension Firefox baptisée HTTPS Everywhere, qui chiffre automatiquement vos données par ce protocole de sécurité.
Arkoon étoffe ses partenariats sécurité pour les secteurs sensibles
Arkoon renforce ses ventes indirectes. La société passe toujours par un seul grossiste D2B, elle vend quasi exclusivement en indirect avec son programme ARK (Adaptability, Resources and Knowledge Transfer). Elle veut se renforcer sur certains type de clients, les clients sensibles, situés sur des infrastructures critiques avec des besoins en matière de sécurité, de conseil et de services plus élevés que la moyenne, par exemple dans la banque, dans certains secteurs industriels, et dans l'énergie. Sur cette base, Arkoon recrute de nouveaux partenaires.
« Nous recherchons comme profils, des partenaires très aguerris en sécurité, nous explique Jérôme Robert, directeur marketing d'Arkoon, de grands intégrateurs réseaux et sécurité, véhiculant une grande expertise en sécurité ». Arkoon les accompagne en formations, avec deux niveaux : Arkoon certified security administrator et certified security expert. Deux personnes de l'équipe channel vont se consacrer à ces partenaires.
Arkoon publie par ailleurs ses chiffres annuels 2011 qui font ressortir un chiffre d'affaires en hausse de 6,2% à 10,8 millions d'euros (ME).
Mozilla corrige une faille critique dans Firefox 10
Pour la troisième fois consécutive, Mozilla fournit un correctif aux utilisateurs de Firefox juste après avoir lancé la dernière mouture de son navigateur. Vendredi dernier, la Fondation a procédé à une mise à jour vers Firefox 10.0.1 pour réparer un bug pouvant être potentiellement exploitable par des hackers. Andrew McCreight et Olli Pettay, deux développeurs chez Mozilla, ont découvert cette faille qu'ils ont qualifiée de « critique ».
Firlefox 10 a été livré il y a un peu plus d'une semaine, le 31 janvier denier. L'éditeur de logiciels libres n'en est pas à son premier coup d'essai en matières de bugs. Lors des deux précédentes versions du navigateur, des défaillances avaient provoqué des crashs de Firefox sur Linux et Mac OS X
Mise à jour aussi de la version professionnelle
Un jour après la sortie de Firefox 9 le 20 décembre dernier, Mozilla, avait livré une mise à jour pour rectifier un correctif qui avait généré un nombre élevé de plantage chez les utilisateurs de Mac. Un mois auparavant, soit deux semaines après la sortie de la version 8 du navigateur, Mozilla avait encore une fois dû faire face aux problèmes de crash de l'édition Mac du logiciel. Ces accidents ont été attribués à une mise à jour de Java par Apple au début du mois.
Mozilla a également remis à niveau Firefox ESR, l'édition professionnelle que la firme avait dévoilé le mois dernier. Firefox 10 ESR recevra les mises à jour de sécurité - comme celle annoncée vendredi dernier - mais son interface utilisateur et ses fonctionnalités resteront inchangées.
La mise à niveau 10.0.1 sera automatique pour les utilisateurs de Firefox 10. Ceux qui souhaitent télécharger la mise à jour n'auront qu'à cliquer sur « A propos de Firefox », dans le menu Firefox (Mac), ou sur «À propos de Firefox », dans le menu Aide sous le bouton Firefox (Windows).
- Télécharger la version de Firefox 10.0.1
(...)
Le système de paiement sans contact Google Wallet vulnérable
Après une première faille permettant de contourner le code PIN du service sur des Nexus rootés (technique pour obtenir les droits d'administration sur le terminal) découverte par Joshua Rubin, chercheur chez Zvelo Labs, le site Smartphone Champ a dévoilé jeudi dernier un trou majeur de sécurité dans la solution de paiement mobile NFC Google Wallet sans avoir besoin de rooter le smartphone. La méthode utilisée donne accès à la carte prépayée Google lorsque les utilisateurs réinitialisent leur code PIN. Le blog a découvert la faille en remarquant que la carte était non pas connectée au compte Google de l'utilisateur, mais à son smartphone.
En fait, si un hacker vole votre téléphone et efface les données sur Wallet Google, il n'a qu'à se connecter de nouveau à l'application et entrer un nouveau code PIN pour se voir attribuer un compte. Il n'aura pas besoin de placer sa propre carte prépayée Google sur son terminal, car il aura directement accès à la carte d'origine de l'utilisateur.
Passer par le support pour désactiver la carte
« Google Prepaid n'est pas relié à votre compte, il est en fait rattaché à votre smartphone, c'est pourquoi si vous changez de terminal mobile, vous devez appeler le réseau Money Network lorsque vous basculerez sur un nouveau dispositif », conseille le bloggeur Hashim dans une vidéo publiée sur Smartphone Champ. Il semblerait, par ailleurs, que ce trou de sécurité soit relativement important ».
Le Californien a indiqué qu'il était conscient de la faille et qu'il travaillait actuellement sur une solution qui sera bientôt disponible. Dans un courriel adressé à Android et Me blog, la firme a également précisé que « toute personne qui perdrait ou souhaiterait vendre son smartphone pouvait appeler les équipes de support de Google Wallet sans frais pour désactiver la carte prépayée.»
Annoncé au printemps 2011, Google Wallet permet de faire des achats, échanger des coupons et accumuler des points simplement en agitant, devant un lecteur spécial, un smartphone compatible avec la technologie NFC (Near Field Communication). La plateforme, qui a fait ses débuts sur le réseau de Sprint avec le smarphone Nexus S 4G sera bientôt disponible sur d'autres terminaux basés sur Android.
Le paiement sans contact est devenu l'une des caractéristiques principales des smartphones depuis que Google a l'activé pour son système d'exploitation Android avec Android 2.3 ("Gingerbread") dont la mise à jour a été effectuée l'an dernier. La société de paiement en ligne PayPal a également développé une application NFC qui fonctionne sur le smartphone Nexus S
En France, dans le cadre de l'initiative Payez mobile, opérateurs, acteurs du secteur bancaire ont des réflexions sur le déploiement de cette technologie. Récemment, la ville de Nice a été la pionnière en la matière, avant Strabourg, en septembre 2011.
(...)
Citadel, un malware développé sur le modèle Open Source
Selon les chercheurs de l'entreprise de sécurité Seculert, les créateurs du malware Citadel ont adopté un modèle de développement Open Source qui leur permet de corriger collectivement les bugs et d'ajouter plus rapidement des fonctionnalités à leur logiciel malveillant. Citadel est basé sur ZeuS, l'un des plus anciens et des plus populaires Cheval de Troie mis au point pour pirater les services bancaires en ligne. Zeus a été abandonné par son créateur fin 2010, mais quelques mois plus tard, le code source de son malware a été diffusé sur le Net.
Depuis la publication de son code source, Zeus a servi de base au développement d'autres Trojan comme Ice IX, et aujourd'hui, Citadel. « Le 17 décembre 2011, pour la première fois, le laboratoire de recherche de Seculert a mis en évidence l'existence d'un botnet Citadel, » a déclaré le spécialiste de la sécurité dans un blog. « Le taux d'adoption et le développement de ce malware est en pleine expansion. » Seculert dit avoir identifié plus de 20 réseaux de zombies utilisant des versions différentes du Cheval de Troie. « Chaque version comporte de nouveaux modules et de nouvelles fonctionnalités, certaines proposées par les clients de Citadel eux-mêmes, » a indiqué l'entreprise de sécurité. L'aspect le plus intéressant de ce malware est sans aucun doute le processus adopté pour son développement. Les modalités de développement adoptées pour Citadel ressemblent à celles des communautés supportant des projets Open Source. « L'organisation est calquée sur le développement des logiciels courants : les créateurs de Citadel fournissent à leurs clients un manuel utilisateur, des avis donnant des détails sur les mises à jour et même un contrat de licence, » a déclaré Seculert.
Un ensemble d'outils pour personnaliser Citadel
A l'image de son logiciel parent, Citadel est vendu comme un ensemble d'outils logiciels criminels sur un marché clandestin. La boîte à outils permet aux fraudeurs de personnaliser le Cheval de Troie en fonction de leurs besoins et de leur infrastructure de commandement et de contrôle. Cependant, les auteurs de Citadel sont allés encore plus loin : ils ont créé une plate-forme en ligne sur laquelle leurs clients peuvent effectuer des demandes de fonctionnalités spécifiques, mais aussi signaler des bogues et même apporter leur contribution au développement des modules.
Les chercheurs, qui ont analysé les différentes versions de Citadel sur une courte période, ont pu constater qu'elles comportaient à chaque fois des améliorations conséquentes, comme l'apparition du chiffrement AES pour les fichiers de configuration, le blocage de sites scannant les virus sur les ordinateurs infectés, le blocage de services automatisés pour pister les réseaux de zombies et l'ajout de capacités de capture vidéo à distance des écrans sur les ordinateurs infectés. Seculert pense que le succès de ce Cheval de Troie pourrait amener d'autres auteurs de logiciels malveillants à adopter le modèle Open Source. « Cette récente évolution marque peut-être une nouvelle tendance dans le développement des logiciels malveillants, » a déclaré Seculert.
(...)(10/02/2012 15:22:32)Patch Tuesday : Microsoft corrige IE, Windows et .Net
Microsoft a déclaré que le prochain Patch Tuesday comportera neuf mises à jour de sécurité corrigeant 21 vulnérabilités. Quatre de ses mises à jour sont jugées critiques. Trois d'entre elles visent Windows dont une corrige une vulnérabilité dans Internet Explorer. Wolfgang Kandek, CTO de Qualys, définit comme hautement prioritaire le patch pour IE. « Nous avons vu le mois dernier avec quelle rapidité les pirates intègrent les attaques sur les navigateurs dans leurs boîtes à outils », précise le spécialiste de la sécurité. La dernière mise à jour critique est liée au framework .NET et à Silverlight. Les cinq autres bulletins sont classés « importants ». Quatre réparent des failles dans Windows, tandis qu'un autre résout un problème sur Office et SharePoint Server 2010 et SharePoint Foundation 2010.
Une tendance à la baisse des mises à jour
Avec cette annonce, Microsoft dépasse le nombre de mises à jour émis le mois dernier (7) et il a quasiment triplé le nombre de failles corrigées (8 en janvier, 21 en février). Toutefois si on prend en considération les tendances de ces dernières années, le Patch Tuesday de février 2012 va constituer « une journée très douce de Saint Valentin » pour les responsables IT, souligne Paul Henry, analyste sécurité chez Lunension. Sur les deux dernières années, la firme de Redmond avait publié 13 mises à jour corrigeant 26 failles en février 2010 et 12 bulletins rectifiant 22 vulnérabilités en février 2011.
Facebook promet d'effacer définitivement les photos supprimées
Sur Facebook, certaines photos, supprimées il y a 3 ans, restent toujours accessibles aujourd'hui, a révélé une enquête réalisée par Ars Technica. Le site a en effet constaté que quelques-unes des photos supprimées par les membres du réseau social étaient toujours stockées sur les serveurs de la plateforme. Facebook a répondu à Ars Technica que comme ses anciens systèmes ne supprimaient pas toujours les contenus dans un délai raisonnable, ce n'est qu'en les déplaçant vers des systèmes plus récents qu'ils seront retirés des serveurs dans les 45 jours après la demande de l'utilisateur.
« Nous avons travaillé dur pour migrer le stockage des photos sur des systèmes récents qui garantissent que les clichés seront entièrement supprimés dans les 45 jours suivant la demande d'effacement », a assuré Frédéric Wolens , porte-parole de Facebook a Ars Technica « Ce processus est presque achevé et il n'y a qu'un très faible pourcentage de photos d'utilisateurs sur l'ancien système qui attendent la migration. », a-t-il ajouté. « Nous nous attendons à ce processus soit achevé d'ici quatre semaines à deux mois. Nous nous assurerons de désactiver les anciens clichés », précise-t-il.
Le papier du site Ars Technica a donné du grain à moudre à un étudiant autrichien, Max Schrems, qui a créé une association, europe v facebook. Elle est à l'origine d'un audit de la part de la CNIL irlandaise sur les pratiques du site de réseau social en matière de confidentialité. Facebook a rencontré les membres de l'association et s'est engagé dans l'effacement total des données de l'utilisateur. Une façon d'anticiper le droit à l'oubli numérique prévu dans le projet de directive européenne sur la protection des données.
(...)
| < Les 10 documents précédents | Les 10 documents suivants > |