Flux RSS
Windows
1087 documents trouvés, affichage des résultats 101 à 110.
| < Les 10 documents précédents | Les 10 documents suivants > |
(10/03/2011 15:38:44)
Safari et IE, 1eres victimes du concours de piratage Pwn2Own, Chrome snobé
Safari d'Apple et Internet Explorer 8 (IE) de Microsoft ont était les premières victimes du concours Pwn2Own, qui a démarré lors de la conférence sur la sécurité CanSecWest, à Vancouver. Chaque année, cette compétition met au défi et récompense des spécialistes du piratage de se confronter aux navigateurs Internet des différents éditeurs.
Une équipe de la société française de sécurité Vupen a ainsi gagné 15 000 dollars et un MacBook Air après avoir exploité une vulnérabilité non corrigée de Safari. La mise à jour réparant 62 vulnérabilités sur la version 5.0.4 de Safari et publiée juste avant l'ouverture du concours, n'aura pas servi à grand-chose car Vupen a réussi malgré tout à pirater le navigateur.
En ce qui concerne IE, il s'agit d'un chercheur indépendant, Stephen Fewer qui a utilisé 3 failles de sécurité pour percer IE 8 sur Windows 7. Aaron Portnoy, responsable de l'équipe sécurité d'HP Tipping Point et organisateur du Pwn2Own a été impressionné par le travail de Stephen Fewer. « Il a utilisé trois failles seulement pour contourner ASLR et DEP, mais aussi échapper au mode protégé. C'est quelque chose que nous n'avions pas vu au Pwn2Own auparavant. » L'ASLR (address space layout randomization), méthode aléatoire d'adressage et le DEP (Data Execution Prevention) doivent réduire les risques de vulnérabilités et de leur exploitation. Le mode protégé d'IE est la « sandbox », qui isole le navigateur.
Chrome ne fait pas recette, les OS mobiles si
A priori, le navigateur Chrome intéresse moins les experts en sécurité que les OS mobiles comme Blackberry OS, Android, iOS et Windows Phone 7. En effet, malgré les 20 000 dollars de récompenses, peu d'équipes ont décidé de se porter candidat pour pirater le navigateur de Google. Seules deux équipes s'étaient pré-enregistrées pour le concours sur Chrome Moatz Khader et un ou plusieurs chercheurs connus sous le nom « Team Anon » (les candidats peuvent rester anonymes s'ils le souhaitent).
En l'absence de combattants, Google Chrome pourrait être déclaré invincible pour la troisième fois consécutive depuis l'existence du concours Pwn2Own.
Le bureau virtuel VMWare View arrive sur l'iPad
Même s'il domine le marché de la virtualisation, VMware a pris du retard sur plusieurs fronts par rapport à ses concurrents, notamment pour porter sa solution de bureau virtuel sur tablette. Mais l'éditeur de Palo Alto est en train de rectifier le tir, puisque désormais l'entreprise propose sur l'App Store d'Apple un client VMware View pour l'iPad. « Nous travaillons sur cette solution depuis le milieu de l'année dernière, » explique Pat Lee, qui dirige le département des utilisateurs finaux chez VMware. De la même manière que Microsoft travaille dur pour adapter Windows aux tablettes construites sur le modèle de l'iPad (sur base ARM donc), VMware reconnaît avoir eu des difficultés à faire fonctionner Windows en mode virtuel sur la tablette d'Apple. « Windows n'est vraiment pas simple à manipuler, » a confirmé Pat Lee.
En interne, les ingénieurs de VMware se sont servis du client View iPad pour corriger les bugs, et les développeurs produits se sont donnés beaucoup de mal pour adapter l'expérience utilisateur de l'iPad à Windows. « Nous avons passé beaucoup de temps à développer les modalités d'usages pour être sûr de retrouver la saveur d'iOS, » a ajouté le responsable de VMWare. Un écran aide les utilisateurs et montre comment effectuer un clic droit (il faut utiliser deux doigts) et comment faire une cliquer-glisser. Pour ceux qui préfèreraient utiliser un pavé tactile de type PC, VMware fournit un trackpad virtuel qui peut s'afficher sur l'écran. « Nous avons souhaité offrir un environnement aussi logique que possible, » explique encore Pat Lee.
Des solutions déjà disponibles chez les concurrents
VMware utilise le protocole PCoIP pour déployer les bureaux distants et affirme que le View Client assurera une connexion sécurisée avec les bureaux hébergés sur des serveurs distants. VMware estime que, pour l'instant, la demande en bureau virtuel n'est pas assez importante sur les tablettes tournant sous Android pour motiver le développement rapide d'un client pour le système d'exploitation mobile de Google. L'éditeur indique que l'application View pour iPad est gratuite pour les clients qui payent déjà 150 ou 250 dollars par licence.
L'annonce de VMware arrive presque un an après la disponibilité du Receiver de Citrix pour iPad, qui donne accès aux applications Windows et à des postes de travail virtuels aux clients se connectant avec la tablette d'Apple. Parallels, avec son application de bureau pour iPad, a aussi largement devancé VMware. Et Citrix Receiver est déjà disponible pour les smartphones Android et iPhone. Cependant, pour VMware, les smartphones ne disposent pas d'écrans suffisamment larges pour offrir un espace de travail adéquat. « Avec un écran de 3,5 pouces, on passe son temps à pincer et à zoomer pour faire les choses les plus simples, » commente Pat Lee. « Le bon facteur de forme, c'est la tablette ! » VMware promet par exemple un accès instantané aux bureaux Windows depuis l'iPad, ainsi que le support des claviers Bluetooth.
Un hyperviseur pour smartphones à venir
Si VMware a pris du retard dans son offre de bureaux virtuels pour l'iPad, et se retrouve derrière Citrix pour proposer un hyperviseur client bare-metal, l'éditeur a peut-être une longueur d'avance dans la fourniture d'hyperviseurs pour smartphones. VMware met au point une solution de virtualisation pour les terminaux Android qui pourront faire tourner simultanément deux OS, l'un pour une utilisation professionnelle et l'autre pour un usage personnel par exemple. LG a déjà annoncé qu'elle proposerait le premier smartphone Android supportant VMware dans le courant de 2011.
Mais le domaine où l'éditeur californien réussit le mieux, c'est, bien sûr, celui des produits de virtualisation pour serveurs virtuels et des logiciels de gestion et d'optimisation des ressources informatiques. Cette semaine VMware a annoncé un outil de gestion de virtualisation serveurs, vCenter Operations, qui, selon l'éditeur, doit simplifier la gestion des machines virtuelles en offrant aux équipes opérationnelles plus de visibilité sur l'environnement virtuel. « Les précédents outils de gestion ciblaient plutôt les équipes chargées de l'infrastructure, » a déclaré Rob Smoot, directeur du marketing pour les produits de gestion. Les clients risquent d'être un peu perdus face à l'offre d'outils de gestion offerts par VMware et des vendeurs tiers, mais, selon Chris Wolf, analyste chez Gartner, « c'est justement la raison pour laquelle vCenter Operations est si important. C'est la première étape vers la création d'une plate-forme de gestion consolidée, » explique-t-il. « VMware accomplit un travail difficile qui est celui de construire une offre véritablement intégrée, et il faut s'attendre à ce que ce produit, quand il sera prêt, soit rapidement adopté par la base d'utilisateurs de VMware. »
Microsoft corrige un bug Windows critique sans toucher à IE
Microsoft a qualifié ce Patch Tuesday de « promenade » pour les utilisateurs. « C'est un mois favorable, » a ainsi déclaré Jerry Bryant, group manager du Microsoft Security Response Center (MSRC) l'entité chargée de pister, de corriger et de livrer les correctifs pour les produits Microsoft.
L'éditeur a aussi pris pour habitude de livrer moins de correctifs les mois impairs. En janvier, par exemple, seules trois vulnérabilités ont été patchées, alors que le mois dernier la mise à jour mensuelle corrigeait 22 vulnérabilités. Une seule des trois mises à jour, le « bulletin » MS11-015, a été jugée «critique», soit le niveau de menace le plus élevé dans le classement de l'éditeur, et les deux autres d'« importantes », soit au second rang de cette classification. Le bulletin critique corrige deux vulnérabilités, dont une dans les composants de Windows Media Center et de Windows Media Player que l'on trouve dans la plupart des versions de Windows. « Celle-ci nous inquiète particulièrement » a déclaré Wolfgang Kandek, CTO de Qualys. La faille se trouve dans les fichiers d'enregistrement vidéo numériques (DVR-MS), créés par le moteur Stream Buffer Engine (SBE) et portant l'extension de fichier .dvr.ms. « C'est un bug lié au navigateur et au site visité, » a déclaré Jerry Bryant, pour expliquer que les attaquants devaient amener les utilisateurs à visiter un site malveillant pour exploiter la vulnérabilité. Selon Andrew Storms, directeur des opérations de sécurité chez nCircle Security, « c'est un drive-by bug, ». « Il existe deux méthodes pour l'exploiter, la première dans un IFRAME, c'est le drive-by classique. L'autre méthode consiste à envoyer un fichier en pièce jointe par mail : les utilisateurs doivent l'ouvrir pour en voir le contenu, car il ne génère pas de preview dans le client mail. » Toutes les éditions de Windows, que ce soit Windows XP, Vista et 7, sont vulnérables tant que ce correctif n'est pas appliqué. « Seule exception : Windows XP Home Edition, qui ne prend pas en charge le codec malveillant, » a déclaré Angela Gunn, senior communications manager du MSRC.
Une vulnérabilité récurrente
La seconde vulnérabilité MS11-015, et les deux autres failles décrites dans les bulletins MS11-016 et MS11-017, concernent le détournement de DLL, parfois appelé bug « binaire entrainant le plantage de la machine. » En août dernier, les chercheurs avaient déjà révélé des problèmes conséquents de détournement de DLL dans Windows, mais aussi dans un grand nombre d'applications de tierce-partie. Microsoft avait commencé à corriger ce problème de DLL dans ses propres programmes en novembre dernier. En décembre, Jerry Bryant avait déclaré que Microsoft pensait avoir résolu tous les problèmes relatifs à cette question. Mais en janvier et février, l'éditeur a fourni des correctifs supplémentaires pour corriger ce problème. « Nos investigations se poursuivent, » a déclaré hier le group manager. « Même si nous pensons avoir identifié tous les problèmes de détournement de DLL dans IE, nous continuons à examiner les autres produits de notre gamme. »
Wolfgang Kandek et Andrew Storm estiment quant à eux que Microsoft continuera à produire des correctifs pour régler le problème du détournement de DLL pendant encore un certain temps. « Cela va durer, non seulement pour les produits de Microsoft, mais aussi pour les produits tiers, » a ainsi déclaré Wolfgang Kandek. Suite à l'alerte diffusée en août, Microsoft avait sorti en urgence un outil pour bloquer les attaques potentielles. Mais les pirates n'ont pas utilisé la technique pour attaquer les ordinateurs sous Windows, ou s'ils ont essayé, leurs tentatives n'ont pas été détectées. Pour Andrew Storm, ce n'est pas une surprise. « Ces failles sont très difficiles à exploiter,» a t-il affirmé. « L'an dernier, cela avait effrayé tout le monde, mais il s'est avéré que le détournement de DLL n'était pas si facile à exploiter. Pour que l'exploit soit efficace, il faut que l'utilisateur se rende sur le site malveillant, ouvre un fichier, que l'attaquant introduise le DLL malveillant et substitue un fichier infecté. Cela représente un certain nombre d'étapes. » HD Moore, directeur de la sécurité chef Rapid7 et créateur de la boîte à outil Open Source de piratage Metasploit, a rappelé aujourd'hui aux entreprises qu'elles pouvaient rendre les attaques de détournement de DLL plus difficiles encore : en désactivant le service client WebDAV sur tous les ordinateur sous Windows, et en bloquant les ports sortants 139 et 445. L'an dernier, le responsable de Rapid7 avait été l'un des premiers à révéler la nature de cette nouvelle menace.
Pas de modification d'IE avant le Pwn2Own
Cela n'a pas incité Microsoft à corriger IE avant le Pwn2Own qui démarre aujourd'hui. La conférence du hacking, qui met chaque année des chercheurs en sécurité au défi de casser les sécurité des navigateurs internet, Internet Explorer de Microsoft, Safari d'Apple, Chrome de Google et Firefox de Mozilla, se passe en même temps que la conférence sur la sécurité CanSecWest qui se tient à Vancouver du 9 au 11 mars. Le premier chercheur qui réussira à pirater IE, Safari ou Firefox recevra un prix de 15.000 dollars. Et 20.000 dollars s'il parvient à craquer Chrome. Pour Jerry Bryant, il était inutile de perturber les utilisateurs avec une mise à jour de sécurité uniquement pour donner plus de chance à IE de passer l'épreuve du Pwn2Own. « Le concours n'est pas une raison suffisante pour perturber nos clients, » a ainsi déclaré le responsable du MSRC. « Le fait de sortir de notre calendrier de mise à jour est un motif de rupture potentiel, et nous n'avons pas de raison de prendre une telle décision aujourd'hui, sauf s'il était avéré que la vulnérabilité était utilisée de manière active par des attaquants. »
La réponse de Microsoft à propos du patch éventuel d'IE avant le Pwn2Own n'est pas une surprise : les mises à jour d'IE sont réservées aux mois pairs, et le dernier patch du navigateur date du 8 février. « Dans tous les cas, » a ajouté Jerry Bryant, « il n'y a pas de risque à ce que les failles éventuellement découvertes pendant le concours Pwn2Own ne s'échappent dans la nature, puisqu'il est entendu que les bugs sont d'abord signalés aux vendeurs. » C'est le programme Zero Day Initiative (ZDI) initié par HP TippingPoint, qui sponsorise le concours Pwn2Own, paye la majorité des prix en argent comptant, en contrepartie des droits sur les bugs exploités au concours, qu'il revend aux éditeurs. Après quoi, le ZDI accorde six mois aux développeurs pour corriger ces bugs avant de rendre ses informations publiques. C'est ainsi que Google et Mozilla ont récemment patché leur navigateur - Google a même livré une nouvelle mise à jour hier - et Apple devait mettre à jour Safari avant le début du concours Pwn2Own.
Les mises à jour de sécurité de Microsoft peuvent être téléchargées et installées en utilisant les services Microsoft Update et Windows Update, et Windows Server Update (WSUS) pour la version serveur.
Développement .Net : Sogeti envoie ses Dotnet Rangers sur le terrain
Pour accompagner les entreprises dans la mise en place d'une filière de développement axée sur la plateforme .Net, de Microsoft, la SSII Sogeti a constitué, il y a environ six mois, une équipe d'experts très pointus sur ces architectures applicatives et plaisamment baptisés les « Dotnet rangers ». Sélectionnés aussi pour leur profil de communicants (ils animent des blogs, écrivent des livres, interviennent sur des conférences), ils ont acquis pour la plupart le titre de MVP (most valuable professional), accordé par Microsoft à des leaders de communautés techniques qui partagent leurs connaissances et qui ont « un impact sur l'écosystème de l'éditeur », explique François Merand, responsable chez Sogeti du business développement pour la plateforme applicative .Net.
En février dernier, à l'occasion des TechDays organisés par Microsoft à Paris, trois journées à forte densité technologique (plus de 300 sessions techniques), Sogeti a fait valoir l'intérêt, pour les entreprises, de monter leur propre centre de services, à l'image de celui sur lequel la SSII s'appuie elle-même, à Lyon (une cinquantaine de personnes). Un centre dirigé par Keelan Clech (Dotnet ranger) et qui se consacre aux technologies Microsoft.
Sogeti s'appuie sur son Innovation Cloud Center
Aujourd'hui, les Dotnet Rangers rassemblent une dizaine de personnes, spécialisées autour de l'ALM (application lifecycle management). « L'objectif est bien sûr de faire grossir cette équipe, à la fois en recrutant à l'extérieur et en permettant à des collaborateurs internes chez Sogeti de devenir un expert technique reconnu. Nous souhaitons monter à 25 ou 30 personnes, réparties dans les différentes Business Units de Sogeti », expose François Merand qui en fait lui-même partie. L'équipe a créé un site (www.dotnetrangers.net) qui rassemble ses contenus techniques, utilisés en interne au sein de Sogeti et qui constitue aussi sa contribution à l'écosystème de Microsoft. Par son intermédiaire, l'expertise de la SSII profitera à d'autres groupes, comme par exemple le French ALM User Group.
Parmi les infrastructures sur lesquelles ces Dotnet Rangers peuvent s'appuyer dans le cadre de leur mission chez les clients figurent, outre le centre de services de Lyon, le showroom .Net que la SSII a ouvert dans ses locaux d'Issy-les-Moulineaux, ainsi que le datacenter IC2 (Innovation Cloud Center). Ce dernier est une plateforme que Sogeti a développée en collaboration avec Microsoft et HP. « C'est un portail de services qui est maintenant opérationnel pour mettre en oeuvre des scénarios, faire des démonstrations et des proofs of concept », détaille François Merand. Les premiers services sont disponibles et les DotNet Rangers sont activement en train de mettre en production des scénarios ALM. « Si l'un de nos clients veut tester ses points d'intégration continus avec la plateforme Microsoft, nous lui provisionnerons une machine virtuelle et il connectera son environnement de développement Business Studio dans le cloud sur cette VM. »
ALM 2.0 : unification, collaboration et agilité
Après l'ALM 1.0, qui se caractérise principalement par du test fonctionnel s'appuyant sur un référentiel de tests, Sogeti promeut sa vision de l'ALM 2.0 qui consiste d'abord à unifier les outils. Dans le cadre du centre de services lyonnais, par exemple, cette unification se fait autour de la plateforme Team Foundation Server 2010 de Microsoft. Tous les profils se connectent au même référentiel : les architectes, les développeurs et testeurs, mais aussi les gens du métier. « Le deuxième mot clé important dans l'ALM 2.0, c'est la collaboration, poursuit François Merand. L'ensemble des personnes intervenant sur le projet ont à leur disposition des outils de communication, des wikis, un portail, des informations documentaires. On va leur demander, et c'est une des clés du succès, de devenir eux-mêmes des contributeurs. Lorsqu'un développeur cherche une information, il est plus intéressant pour lui de la trouver dans un wiki, exposée par une personne ayant eu le même problème, et de transmettre à son tour ses solutions. » On entre alors dans un cercle vertueux de collaboration.
Le troisième aspect important de l'ALM 2.0, c'est la méthodologie. « Au centre de services Sogeti de Lyon, nous avons fait le choix de la méthode agile Scrum, la plus répandue. Elle est très pragmatique et, surtout, permet de démarrer doucement avec les processus de base que l'on enrichit », explique François Merand.
ALM Assessment et Maturity Model
Certaines entreprises ont un niveau de maturité pour mettre en place un centre de services qui leur procurerait une meilleure lisibilité sur leur patrimoine applicatif. Disposer de ce pool de compétences pour développer leurs applications leur permettrait d'améliorer la qualité de leur logiciel et de pouvoir les faire évoluer et les corriger, par sa capacité à remettre le code en production (alors que dans le cas d'équipes projets, quelques mois plus tard, les compétences ont souvent été dispersées).
Sogeti propose donc à ses clients un outil, l'ALM Assessment complété du Maturity Model, qui permet d'évaluer où ils en sont afin de les aider à faire évoluer leur filière de développement. La première évaluation se déroule en une demi-journée ou une journée avec un chef de projet, une personne travaillant sur la méthodologie et le responsable de l'outillage de la plateforme.
Crédit photo : Sogeti (...)
Adobe expérimente Wallaby pour porter Flash sur iOS
Wallaby, qui sera offert gratuitement sur le site Adobe Labs, donnera la possibilité aux développeurs de convertir un fichier Flash créé dans l'outil de développement Flash Professionnel au format HTML. iOS d'Apple, qui ne supporte pas Flash Player, est la principale cible de Wallaby. Cette technologie peut aussi fonctionner sur les navigateurs comme Safari et Chrome, a déclaré Tom Barclay, chef de produit senior pour Adobe Creative Suite.
« Il s'agit d'une technologie expérimentale qui donne un aperçu de l'innovation que nous faisons autour de Flash et HTML et de montrer l'investissement que nous faisons dans les deux technologies que nous jugeons importantes pour le long terme », souligne Tom Barclay. Wallaby n'est pas fondé que sur du code HTML, mais comprend SVG et CSS, qui sont des technologies connexes.
Une conversion avec ses limites
Wallaby est une application AIR (Adobe Integrated Runtime) compatible avec Windows et Mac. Les développeurs peuvent convertir des fichiers au HTML5 via la fonctionnalité de glisser-déposer, affirme l'éditeur. Une fois les fichiers convertis, les développeurs peuvent le modifier à l'aide d'un outil d'édition HTML, comme Dreamweaver ou à la main.
Adobe Flash est une technologie brevetée, pour jouer à des expériences riches dans les navigateurs. Elle a été contestée par Apple en particulier, qui a fait valoir que pour ce type d'expérience, elle misait sur HTML5. Adobe considère que les deux formats peuvent coexister. Cependant, la conversion à partir de Flash au format HTML peut signifier la perte de certaines fonctionnalités, comme l'absence d'effets, la gestion des filtres et la fusion des claques, indique Tom Barclay. « Si une fonction Flash n'est pas pris en charge dans HTML, elle ne sera tout simplement pas disponible » conclut-il. (...)
Qualcomm se prépare pour le futur Windows de Microsoft
Rob Chandhok, président de Qualcomm Internet Services a déclaré « préparer notamment des outils et un logiciel à l'attention des développeurs Windows afin de les inciter à travailler sur les fonctionnalités avancées de la famille de processeurs Snapdragon. » Ces dernières équipent déjà des smartphones, des tablettes tactiles et d'autres appareils mobiles. De son côté, Hewlett-Packard a récemment choisi le processeur Snapdragon APQ8060 dual-core, basé sur une architecture ARM, pour sa future tablette TouchPad.
En janvier, Microsoft avait annoncé que la nouvelle version de Windows pourrait tourner avec des processeurs ARM et avait rendu public son partenariat avec Qualcomm. Pour l'instant la firme de Redmond n'a pas encore annoncé de date de sortie pour son futur système, mais Rob Chandhok pense que celui-ci offrira de nombreuses fonctionnalités reposant sur la technologie des navigateurs Internet et des services web, « comme c'est le cas de beaucoup d'appareils mobiles aujourd'hui. ». Qualcomm mobilise donc beaucoup de ressources pour faire en sorte que des technologies comme HTML 5 - la prochaine version de l'HyperText Markup Language pour l'Internet - puissent s'exécuter de façon transparente sur des appareils utilisant ses puces. « Les tablettes qui intègreront le prochain OS de Microsoft sont une excellente opportunité pour nous, » a déclaré le dirigeant.
Capitaliser sur son expérience logicielle
Les puces proposées supporteront également d'autres systèmes d'exploitation, comme Android de Google, et l'entreprise s'emploie à développer des applications basées sur des standards indépendants du système d'exploitation. Par exemple, lors du dernier Mobile World Congress, le fondeur a montré des appareils exécutant Alljoyn, un logiciel qui permet la communication peer-to-peer entre périphériques sur le réseau WiFi ou via Bluetooth, sans avoir besoin de recourir à un serveur intermédiaire. « Alljoyn pourrait fonctionner sur des machines exécutant Android ou Windows, et assurer plus facilement la communication entre les appareils, » a déclaré Rob Chandhok.
Surtout connu pour ses puces et ses produits WiFi, Qualcomm a aussi un passé dans le développement de logiciels. C'est elle qui a créé le client de messagerie Eudora, très populaire entre 1990 et 2006, et cédé depuis à la communauté Open Source. Qualcomm a également joué un rôle en favorisant la croissance de l'écosystème logiciel du processeur ARM, de même qu'elle a fourni les outils de développement logiciels pour le processeur graphique ARM - nom de code Adreno - utilisé dans ses puces Snapdragon.
La prochaine version de Windows, également destinée aux PC, pourrait ouvrir la porte de ce marché au fondeur. Mais Rob Chandhok a précisé que son entreprise « maintiendrait le cap sur la mobilité, et n'avait pas l'intention d'entrer dans le marché du PC. » Nvidia, concurrent de Qualcomm, met actuellement au point une puce pour PC, serveurs et supercalculateurs - nom de code Project Denver - qui pourra également exécuter la prochaine version de Windows.
| < Les 10 documents précédents | Les 10 documents suivants > |