Flux RSS
Securite
4752 documents trouvés, affichage des résultats 1 à 10.
| Les 10 documents suivants > |
(18/04/2014 15:51:02)
Tor bloque certains relais à cause de la faille Heartbleed
Tor Project a identifié 380 relais vulnérables à la faille critique Heartbleed et a bloqué leur accès au réseau d'anonymisation, réduisant ses capacités d'entrée et de sortie. Roger Dingledine, chef de file du projet Tor, a modifié l'autorité d'annuaire de Tor, un serveur qui gère la liste des noeuds dont il a la responsabilité. D'autres opérateurs de l'autorité d'annuaire devraient faire de même.
Les 380 noeuds indésirables sont habituellement considérés comme des relais de confiance. Ils agissent comme des gardes pour contrôler l'entrée et la sortie des relais. « Ce blocage a entraîné une réduction immédiate de la capacité du réseau de 12 % », a déclaré mercredi Roger Dingledine dans un courriel adressé à la liste de diffusion des relais Tor. De façon générale, la circulation du trafic à travers le réseau Tor se fait en trois étapes : il entre d'abord par un relais de garde, puis traverse un relais de sortie, avant d'être retourné vers Internet pour atteindre sa destination.
De nombreux relais sont gérés par des bénévoles
Cette réduction de 12 % ne semble pas très élevée, mais les noeuds de garde et de sortie jouent un rôle important sur le réseau et ne sont pas faciles à remplacer. De nombreux relais sont gérés par des bénévoles. Ils doivent être sûrs et doivent disposer d'une bande passante suffisante pour prendre en charge le trafic de plusieurs clients. « Pendant un moment, je pensais qu'il suffirait de les marquer comme invalides au lieu de les rejeter purement et simplement, mais de cette manière, ils auraient eu des avertissements dans leurs logs », a indiqué le chef de file du projet. L'interdiction pourrait être permanente. En effet, Roger Dingledine a déclaré qu'il n'autoriserait pas le retour de ces relais sur le réseau Tor, même s'ils ont mis à jour leurs versions d'OpenSSL parce que leurs opérateurs ont omis de corriger la faille dans un délai suffisant.
La vulnérabilité Heartbleed, découverte le 7 avril, affecte les versions 1.0.1 à 1.0.1f de la bibliothèque OpenSSL sur laquelle repose le protocole de communication chiffré TLS (Transport Layer Security) utilisé par de nombreux systèmes d'exploitation, serveurs web, navigateurs Internet, applications desktop et mobiles pour sécuriser les communications sur le Web. La faille permet aux pirates d'extraire des informations de la mémoire d'une application client ou serveur qui utilise l'OpenSSL pour ses communications TLS.
1000 autres relais également vulnérables
Les clients et les relais Tor sont potentiellement vulnérables si la bibliothèque OpenSSL n'est pas mise à jour sur le système d'exploitation sous-jacent. « Les relais et les ponts Tor ont peut-être été modifiés pour livrer leurs clefs Onion à moyen terme (elles changent toutes les semaines), ou les clés d'identification de relais à long terme », a écrit Roger Dingledine dans un billet de blog la semaine dernière après l'annonce de la faille Heartbleed. « Un attaquant qui s'emparerait de la clé d'identification du relais et de la clé Onion pourrait intercepter les flux du trafic au niveau de votre adresse IP et prendre la place de votre relais (même si, en raison de sa conception, l'attaque d'un relais Tor sur le trajet du client n'est pas très efficace) », explique-t-il en ajoutant « dans tous les cas, la meilleure chose à faire est de mettre à jour votre pack OpenSSL, de jeter tous les fichiers keys/ dans le DataDirectory, et de redémarrer Tor pour générer de nouvelles clés ».
Par ailleurs, en plus des 380 relais de gardes et de sortie interdits, 1000 autres relais également vulnérables devraient être bientôt ajoutés à la liste.
(...)(18/04/2014 14:10:15)Une start-up israélienne teste un système de détection des attaques Stuxnet
L'attaque informatique furtive des installations nucléaires iraniennes en 2010 par le malware Stuxnet a permis de réaliser que les systèmes industriels critiques étaient vulnérables aux cyberattaques. Aujourd'hui, une start-up israélienne aidée par General Electric (GE) teste une technologie de sécurité qui permettrait de détecter des attaques similaires à celles du ver Stuxnet sur les systèmes d'infrastructures critiques dans le secteur de l'énergie.
Le système utilise les algorithmes inventés par deux professeurs d'université, Amir Averbuch de l'Université de Tel-Aviv, et Ronald Coifman de Yale. Leurs formules mathématiques permettraient de détecter les logiciels malveillants furtifs ciblant les systèmes industriels et d'aider à la surveillance des réseaux. L'an dernier, les deux universitaires ont créé avec le CEO Mark Gazit, une start-up nommée ThetaRay basée à Tel-Aviv pour développer une technologie serveur spécialisée dans la surveillance des installations de production d'électricité, les systèmes industriels SCADA et autres infrastructures critiques. La technologie, qui devrait être au point début septembre, pourrait également être appliquée à d'autres secteurs, comme les services financiers.
Détecter l'amorçage d'une attaque
« L'appliance de sécurité de ThetaRay, déployée sur site, examine les données opérationnelles des systèmes industriels - les contrôles SCADA par exemple - et les compare simultanément avec les données du trafic sur le réseau et les paramètres de sécurité, comme ceux des pare-feu », a expliqué Mark Gazit. L'appliance confronte des centaines de paramètres concernant le fonctionnement des systèmes opérationnels et des réseaux, et crée une sorte d'image « hyperdimensionnelle du comportement normal » afin de repérer les anomalies qui pourraient révéler une attaque. L'appareil de ThetaRay analyse lui-même le contexte pour déterminer s'il y a ou non des anomalies, par exemple la baisse ou la hausse soudaine des données sous surveillance pourrait indiquer une cyber attaque en cours. Le système ne peut pas bloquer l'attaque, mais il peut en détecter l'amorçage.
De fausses bases de donnnées
Le ver Stuxnet, très sophistiqué et complexe, aurait été mis au point par les services de renseignement américain et israélien pour perturber le travail des centrifugeuses dans une installation nucléaire iranienne soupçonnée de développer une arme nucléaire. Pendant longtemps, le ver a réussi à passer inaperçu : il interférait avec les automates programmables et créait de fausses données qui n'éveillaient pas les soupçons. Stuxnet a la réputation d'être une arme informatique dangereuse, incontrôlable, aux conséquences inconnues. Et depuis que le ver a été démasqué, toutes les installations de production d'énergie à travers le monde sont en état d'alerte.
ThetaRay affirme que sa solution est capable de détecter ce type d'attaques dans les systèmes industriels. Elle est actuellement testée dans une centrale électrique de l'état de New York. ThetaRay a reçu l'appui financier de plusieurs partenaires, dont Jerusalem Venture Partners et General Electric. Mais la start-up n'a pas dévoilé le montant de ces contributions, ni expliqué comment le GE comptait déployer sa technologie de surveillance. Les systèmes de sécurité de ThetaRay seront disponibles partout à partir de l'automne. Leur tarif sera de l'ordre de « plusieurs centaines de milliers de dollars », a déclaré le CEO.
(...)(18/04/2014 07:42:23)Sécurité, les menaces externes priment encore sur les internes selon une étude
Alors que l'erreur humaine est la plus grosse source de risques pour le système d'information selon 51% des responsables interrogés, elle n'est prioritaire que dans 13% des budgets de la sécurité informatique. Cette dichotomie entre la gravité des risques et l'affectation des budgets est le centre d'une récente étude publiée par l'éditeur BalaBit IT Security à l'occasion du Gartner Identity & Access Management Summit 2014.
Les menaces à auteurs externes sont ainsi jugées comme les menaces principales par 18% des répondants à l'étude mais sont prioritaires dans 30% des budgets sécurité. Enfin, les menaces à auteurs internes sont prioritaires pour 15% et drainent 13% des priorités budgétaires.
Les risques liés à l'infrastructure sont également sur-représentés dans les priorités budgétaires par rapport aux risques prioritaires : les dysfonctionnements du système sont prioritaires du point de vue des menaces dans 9% des cas mais du point de vue des budget dans 28% des cas. Les attaques automatiques sont jugées comme des menaces prioritaires dans 7% des cas mais comme des budgets prioritaires dans 17%.
Concernant le cas particulier des « utilisateurs à privilèges », les plus susceptibles de commettre des erreurs ou des fautes à fortes conséquences, 83% des répondants ont admis que ces utilisateurs bénéficiaient d'une réduction des mesures de sécurité. Cette réduction serait obligatoire dans de nombreux cas, les solutions de sécurité étant souvent insuffisamment flexibles pour s'adapter aux besoins ponctuels.
La gestion des risques sera l'objet de la prochaine conférence stratégique CIO le 20 mai 2014. En amont de cette conférence, CIO réalise une enquête sur la gestion des risques.
(...)
L'affaire Snowden a changé la perception de la sécurité dans le cloud
Les révélations d'Edward Snowden sur l'espionnage aiguë de la NSA ont finalement causé beaucoup de tort au développement du cloud computing. Selon une étude réalisée par NTT Communications, beaucoup de DSI accordent aujourd'hui une attention toute particulière à la localisation de leurs données stockées dans le cloud. Dans son panel de 1 000 décideurs IT interrogés au Royaume-Uni, aux États-Unis, à Hong Kong, en France et en Allemagne, NTT Communications a constaté que neuf DSI sur dix indiquent que l'affaire Snowden a eu un certain impact sur leur approche du cloud.
La moitié des personnes interrogées déclarent qu'elles accordent une plus grande attention à l'endroit où les données sont stockées, et un peu plus de la moitié ont décidé de reporter des projets cloud pour verrouiller ce point précis. Environ 35% du panel indiquent avoir changé de fournisseurs de services cloud et 62% affirment avoir cessé de transférer leurs solutions IT dans le cloud.
Une méfiance devenue naturelle
Donc si l'affaire Snowden a bien affecté le comportement des décideurs IT, il reste encore difficile de comprendre si une partie de cette méfiance n'est pas tout simplement naturelle depuis que les informaticiens se sont familiarisés avec les risques inévitablement liés aux fournisseurs de services cloud.
Par exemple, 97% des répondants ont dit qu'ils préféraient stocker leurs données dans leur propre région, un point particulièrement important pour les entreprises de l'Union Européenne. Mais ce point correspond également à des questions de souveraineté et de conformité; même sans l'affaire Snowden, la conservation de données sensibles - comme dans les banques et les services publiques - est assujettie à une législation précise et les pratiques de la NSA ont simplement mis en avant la nécessité de renforcer les procédures de sécurité. Le point de vue de certains fournisseurs de services cloud est que le chiffrement suffit pour renforcer la sécurité des données, mais ce n'est pas toujours facile à mettre en oeuvre. Il est également coûteux et s'accompagne souvent d'une baisse des performances.
Une chance pour les acteurs européens
« Les décideurs IT n'ont pas tardé à tirer des leçons de la crise actuelle et commencent à scruter d'un autre oeil leurs fournisseurs. Des fournisseurs qui peuvent parfaitement s'accommoder d'exigences accrues en matière d'intégrité des données, de gouvernance et de sécurité pour retrouver le sourire dans le monde de l'après-Snowden », notent les auteurs de NTT Communications.
Si les révélations d'Edward Snowden ont amené beaucoup de questions sur la table et enterré quelques certitudes sur la sécurité des réseaux et, donc, du cloud, ce sera peut-être encore au final très bénéfique pour l'industrie IT. Certaines entreprises européennes pourraient tirer leur épingle du jeu au détriment de sociétés américaines pourtant archidominantes sur le marché du cloud. Dans tous les cas, un examen encore plus minutieux des conditions d'exploitation et de réversibilité est devenu incontournable.
Encore peu de prévention contre les attaques par injection SQL
Dans une étude réalisée par le Ponemon Institute pour le compte de DB Networks, 65 % des entreprises interrogées reconnaissent avoir subi une ou plusieurs attaques par injection de commandes SQL au cours des 12 derniers mois. De plus, en moyenne, l'incident a été découvert au bout de 140 jours, et il a fallu 68 jours pour résoudre le problème. « On sait que les entreprises doivent lutter contre les failles par injection SQL, et près de la moitié de celles qui ont répondu à notre enquête ont déclaré que le risque était très important pour leur entreprise. Mais l'étude examine la question de manière beaucoup plus approfondie », a commenté le Dr Larry Ponemon.
Ainsi, quand l'étude pose la question de la prévention des attaques par injections SQL, les mêmes entreprises répondent que les mesures prises pour se protéger sont insuffisantes : 52 % des entreprises interrogées reconnaissent qu'elles ne prennent aucune précaution, et qu'elles ne font par exemple aucun audit de code et ni aucun contrôle de validation. Pourtant, près de la moitié d'entre elles ont déclaré que les attaques par injection SQL représentent pour elles une menace importante. De plus, 42 % savent que l'injection SQL favorise les intrusions. Ce défaut de prévention peut s'expliquer en partie par le fait que seules 31 % des entreprises interrogées estiment que les équipes IT chargées de la sécurité des systèmes ont les compétences, les connaissances et l'expertise pour détecter une attaque par injection SQL.
595 entreprises interrogées pour cette étude
L'échantillon qui a servi de base à cette étude est toutefois réduit, seulement 595 entreprises sur 16 marchés verticaux. Mais, le problème posé par l'injection SQL est beaucoup plus large : en fait, il a été identifié depuis 1998. Une des raisons pour lesquelles l'Injection SQL existe c'est que, du côté des attaquants, cela donne de bons résultats. On trouve sur le web plusieurs outils qui permettent d'automatiser l'injection SQL, depuis l'analyse des hôtes vulnérables, jusqu'à l'extraction des données de la base de données, et la plupart des cybercriminels n'ont pas besoin d'autre chose pour voler des données.
Pour les entreprises, la question est un peu plus complexe. Les développeurs sont payés au code, mais la sécurité n'est pas encore une priorité. L'essentiel, c'est que le projet soit livré en temps voulu et qu'il respecte le budget. Depuis 1998, le développement de code a fait beaucoup de chemin, mais pas mal d'erreurs passent encore entre les mailles du filet. Et ce sont ces petites erreurs qui ouvrent la porte à de larges brèches. C'est pourquoi les évaluations de code et la surveillance continue des applications et des bases de données sont encouragées, voire carrément obligatoires.
Un problème à prendre au sérieux
Pourtant, régulièrement, les entreprises subissent des attaques par injection SQL, et leurs conséquences peuvent être coûteuses et embarrassantes (notamment vis-à-vis des clients). Évidemment, l'objectif de DB Networks pour prévenir contre les attaques par injection SQL n'est pas désintéressé, comme c'est le cas d'autres fournisseurs. Mais quelques précautions de bases suffisent souvent à résoudre les problèmes d'injection SQL les plus fondamentaux, comme ceux décrits par l'OWASP (The Open Web Application Security Project), une ONG mondiale qui travaille sur la sécurité des applications. Mais, quelle que soit la méthode choisie par une entreprise pour résoudre le problème de l'Injection SQL, l'essentiel est de s'en préoccuper. Ce n'est jamais facile, mais compte tenu de la valeur accordée aux données, dans et hors de l'entreprise, cela en vaut la peine.
(...)(17/04/2014 12:03:50)Lavaboom construit une messagerie chiffrée censée résister à l'espionnage
Un service de webmail baptisé Lavaboom propose de fournir un chiffrement facile du courrier électronique sans jamais conserver les clefs de chiffrement privées de ses utilisateurs et donc consulter le contenu des messages. Basé en Allemagne et fondé par Felix Müller-Irion, Lavaboom a été baptisé en référence à Lavabit, le fournisseur de messagerie cryptée crée par Ladar Levison qui aurait été utilisé par l'ancien consultant de la NSA Edward Snowden. Rappelons que Lavabit a décidé de fermer ses portes en août dernier suite à une injonction du gouvernement américain sur la divulgation de la clef SSL privée qui aurait permis aux agences fédérales américaines de déchiffrer tous les emails des utilisateurs.
Lavaboom a conçu son système de cryptage de bout en bout, ce qui signifie que seuls les utilisateurs seront en possession des clefs secrètes nécessaires pour déchiffrer les messages qu'ils reçoivent des autres. Lavaboom appelle cette fonction « zero-knowledge privacy» et a mis en oeuvre une plate-forme qui permet de chiffrer et déchiffrer localement les emails à l'aide du code JavaScript exécuté à l'intérieur des navigateurs des utilisateurs et non pas sur des serveurs distants.
Réduire les risques d'interception
Le but de cette mise en oeuvre est de protéger les utilisateurs contre toute interception du trafic mail en amont. En déplaçant le chiffrement sur le navigateur de l'utilisateur, Lavaboom se place dans l'impossibilité de fournir des emails en texte brut ou des clefs de chiffrement si un gouvernement en fait la demande. Bien que cela permette de protéger les utilisateurs contre les tentatives de collectes de données passives réalisées par des services de renseignement comme la NSA, le service de Lavaboom ne sera probablement pas capable de protéger les utilisateurs contre d'autres techniques d'attaque. Notamment l'exploitation de failles - comme celle touchant OpenSSL - que ces organismes de sécurité ont à leur disposition. Précisons d'ailleurs que pour le hachage, Lavaboom a préféré utiliser le SHA-512, qui appartient à la famille SHA-2, plutôt que l'outil de RSA, soupçonné de collaborer passivement avec la NSA.
Tous ceux qui sont intéressés par le service peuvent demander à rejoindre la phase de bêta test, qui commencera dans environ deux semaines. Jusqu'à 250 Go (environ 1000 emails) par mois, le service Lavaboom sera gratuit et utilisera l'authentification bidirectionnelle basée sur une paire de clefs publique-privée avec un mot de passe. L'abonnement premium coûtera 8 € par mois et permettra aux utilisateurs d'utiliser 1 Go d'espace de stockage et une option d'authentification en trois étapes. « En plus de votre paire de clefs et d'un mot de passe, nous pouvons soit vous envoyer un code généré aléatoirement ou vous pouvez choisir d'utiliser la solution YubiKey de Yubico. Ou même les deux. Nous vous recommandons toutefois fortement d'utiliser YubiKey (25$ la clef USB standard)», a déclaré Lavaboom sur son site Internet, qui était malheureusement inaccessible ce matin.
OpenPGP pour le chiffrement des mails
Le service de Lavaboom utilise la norme de chiffrement OpenPG qui est basée sur un système de chiffrement reposant sur une clef publique. Chaque utilisateur a donc une clef publique et une autre privée qui forme la paire de clefs. Le code JavaScript de Lavaboom et la clef privée de l'utilisateur sont toutefois stockés dans le cache du navigateur, ce qui conduit à certaines limitations. D'une part, cela associe à la clef un navigateur et rend l'accès au compte uniquement possible depuis le terminal qui héberge le cache du navigateur. « N'effacez jamais votre cache Lavaboom » prévient le fournisseur de service de messagerie électronique sur son site Internet. «Nous n'offrons pas de service de récupération de mot de passe, car nous ne le pouvons pas ! Une fois que vous aurez créé votre clef privée, toutes vos données resteront chiffrées jusqu'à l'utilisation de cette clé. Nous ne proposerons aucun remboursement du service si vous perdez votre clef privée ».
Lavaboom explique également que ses serveurs sont disséminés un peu partout sur le sol allemand. « Si nous devions répondre à une injonction de justice, nous comptons sur un grand tollé, puisque nous sommes sous la juridiction de la loi allemande avec les meilleures lois sur la protection de la vie privée dans le monde », indique le fournisseur de services de messagerie sur son site web. «Si nous devions jamais être forcés par le BSI ou le BND [les services des sécurité allemands] à renoncer à toutes nos données, soyez assurés que nous avons mis quelque chose en place qui peut détruire en quelques minutes nos disques durs ».
(...)(17/04/2014 11:30:21)Heartbleed : Oracle livre déjà 7 correctifs OpenSSL et en prépare d'autres
Oracle a communiqué la liste détaillée de ses produits touchés par la faille critique Heartbleed découverte dans la bibliothèque de chiffrement OpenSSL et référencée CVE-2014-0160. Des correctifs sont déjà disponibles pour six d'entre eux : MySQL Enterprise Monitor, MyQL Enterprise Server 5.6, Communications Session Monitor Suite 3.3.40 et 3.3.50, Oracle Linux 6, Mobility Security Suite et Solaris 11.2.
Mais l'éditeur donne aussi plusieurs autres listes, en particulier, celle des logiciels, une quinzaine, pouvant être vulnérables à la faille et pour lesquels le correctif n'est pas encore disponible. Parmi ceux-ci figurent Java ME (Mobile and Wireless), MySQL Connector/C et ODBC, MySQL Workbench ou encore le logiciel de gestion de projets Primavera P6 Professional. Une quinzaine d'autres produits, pouvant être potentiellement touchés, sont encore en cours d'examen, dont les produits ATG (commerce électronique), eGate Integrator 5.0.5 SRE, Enterprise Manager Explorer, Nimbula Director ou Oracle SOA Suite.
Les produits hors de danger
Enfin, Oracle énumère aussi les produits qui sont hors de danger, soit parce qu'ils n'intègrent pas du tout Open SSL, comme l'E-Business Suite R12, Java SE ou Java VM, soit parce que l'utilisation qu'ils en font ne les exposent pas à la faille CVE-2014-0160, comme l'E-Business Suite 11i, ses suites décisionnelles Hyperion BI et Essbase, ou encore son serveur intégré Exalogic.
Les utilisateurs de sa famille de services cloud peuvent également se rassurer. Oracle indique que les applications hébergées par Oracle dans ses datacenters, en mode public ou privé, « ne sont actuellement pas exposées » au bug Heartbleed. L'éditeur précise toutefois qu'il continue à examiner la situation. La faille qui touche OpenSSL est l'une des plus graves parmi celles qui ont été découvertes ces derniers temps.
Mise à jour de sécurité trimestrielle urgente
Par ailleurs, c'est cette semaine, le 15 avril, qu'Oracle a livré son lot de correctifs trimestriel qui contenait cette fois-ci 104 patches. L'éditeur signale qu'en raison de la menace encourue à la suite d'une attaque ayant aboutie, cette mise à jour de sécurité doit être appliquée aussi rapidement que possible.
On y trouve en particulier des mises à jour pour les versions 11g et 12c de la base de données phare de l'éditeur, pour Fusion Middleware 11g et 12c, pour les applications Fusion ou pour WebLogic Server. A elle seule, la Standard Edition de Java est concernée par 37 correctifs.
(...)(17/04/2014 09:10:20)La boutique en ligne de LaCie était une vraie passoire
Durant pas moins d'une année, un hacker a piraté la boutique en ligne de LaCie, le fabricant de petits périphériques de stockage désormais dans le giron de Seagate. Cette faille n'est toutefois pas liée à Heartbleed, la vulnérabilité logicielle qui fait couler beaucoup d'encre en ce moment. La firme concède ne pas avoir découvert par elle même la faille. C'est le FBI qui l'a mise au courant qu'une personne avait utilisé des logiciels malveillants, afin d'accéder aux informations saisies par les clients de son site marchand : identité, informations sur les cartes bancaires...
LaCie précise que les transactions à risque s'étalent du 27 mars 2013 au 10 mars 2014. Les clients ayant effectué des commandes durant cette période de près de 12 mois ont déjà été contactés par le fabricant. En attendant de boucher les failles, le site marchand de la firme a été désactivé à titre de précaution et la boutique en ligne sera redémarré après le passage à un service de traitement des paiements sécurisé.
ICTjournal.ch
(...)
Microsoft réduit drastiquement le prix du support de Windows XP
Quelques jours après la fin du support public de Windows XP, Microsoft réduit considérablement les tarifs du support personnalisé qu'il propose aux grandes entreprises et aux agences gouvernementales. « Je crois que Microsoft a changé les prix parce qu'il a estimé que trop peu de clients avaient souscrit au programme, et qu'il se montrait inquiet des conséquences liées à la vulnérabilité de Windows XP », a déclaré Daryl Ullman, co-fondateur et directeur général de Consulting Group Emerset, une entreprise spécialisée dans la négociation des accords de licence logicielle.
Suite à la recommandation de M. Ullman, un client d'Emerset a repoussé il y a deux semaines un contrat d'un montant de 2 millions de dollars censé assurer le support personnalisé de près de 10 000 PC sous Windows XP. Quelques jours plus tard, Microsoft est revenu à la charge avec un tarif de seulement 250 000 $. M. Ullman a donc immédiatement conseillé à son client de sauter sur ce qu'il appelle « une police d'assurance ». D'autres entreprises ont signalé à nos confrères de Computerworld des offres similaires poussées à la dernière minute par Microsoft. L'éditeur s'est en effet engagé à fournir une année de correctifs supplémentaire à ses clients. Le fisc américain, par exemple, va dépenser plusieurs millions de dollars pour couvrir XP une année supplémentaire en attendant de finir sa migration vers Windows 7. Environ 53% des 110 000 PC de l'IRS focntionnent encore avec Windows XP.
Bras de fer entre Microsoft et ses clients
Ces accords de support personnalisé (Custom support agreements ou CSA) apportent des mises à jour de sécurité critiques pour un système d'exploitation qui a officiellement pris sa retraite le 8 avril dernier. Ces accords sont négociés entreprise par entreprise et exigent également que l'organisation ait déjà adopté un premier support de premier niveau, baptisé Premier Support, chez Microsoft. La sécurité apportée par les CSA permet aux entreprises de terminer leurs migrations vers Windows 7.
La retraite de Windows XP était une nouvelle très importante la semaine dernière, et pas seulement dans la presse IT, parce que l'OS vieux de treize ans représente encore 28 % des ordinateurs personnels connectés à Internet dans le monde. Avec la fin du support de Microsoft, de nombreux experts en sécurité, y compris chez l'éditeur de Redmond, estiment que les cybercriminels vont se ruer sur les failles du système d'exploitation.
Bien que Microsoft ait battu le tambour autour de la fin du support de Windows XP, beaucoup d'entreprises et de services publics n'ont pas sauté le pas vers une version plus récente de Windows. Et ce pour une combinaison de plusieurs facteurs : budgétaire, stabilité et familiarité avec XP, mauvaise opinion de Windows 8 et, surtout, une réelle force d'inertie liée à la durée de vie exceptionnelle de Windows XP.
Un plafond de 250 000 dollars max
La volte-face sur les CSA s'est opérée fin 2012/début 2013, lorsque Microsoft a brusquement augmenté les prix du support pour atteindre 200 $ par dispositif et établi un plafond de 5 millions de dollars. Michael Silver, analyste chez Gartner, a suivi ces hausses de prix l'an dernier. Aujourd'hui, il a déclaré que plusieurs clients de Gartner ont rapporté des baisses de prix massives ces deux dernières semaines. « Microsoft est devenu beaucoup plus conciliant, mais garde un tarif encore élevé pour encourager les entreprises à migrer » a-t-il dit. Le nouveau plafond est de 250 000 $, selon plusieurs sources, bien que le prix de 200 $ par poste soit resté inchangé.
Des sources proches de Microsoft ont laissé filé que la société a changé son fusil d'épaule au sujet des tarifs du CSA après que Kevin Turner, le COO de Microsoft, ait remonté le mécontentement de clients exploitant encore des milliers de machines XP et dans l'impossibilité de migrer leurs environnements avant la date limite. La décision de baisser les prix du support a été prise peu de temps après. Messieurs Ullman et Argent ont corroboré cette chronologie à nos confrères de ComputerWorld, en indiquant qu'ils avaient commencé à entendre parler des réductions de prix début avril.
(...)(16/04/2014 17:45:30)Le lecteur d'empreintes du Galaxy S5 trompé par un moulage
Il n'aura fallu que quatre jours à des chercheurs allemands pour tromper le système de vérification d'empreinte digitale du Galaxy S5 de Samsung. Le smartphone a accepté un simple moulage de l'empreinte du doigt. On dirait bien que cette authentification biométrique laisse à désirer alors même qu'elle est mise en avant par le constructeur coréen comme l'une des fonctionnalités phares de son terminal mobile vedette. C'est ce qu'explique SRLabs, laboratoire de recherche en sécurité installé à Berlin, dans une démonstration postée sur Youtube du test qu'il a réalisé.
Les chercheurs ont utilisé l'empreinte digitale d'un utilisateur sur le S5, puis recouru au moulage du doigt pour déverrouiller le smartphone, la même méthode qui servit à tromper le capteur biométrique de l'iPhone 5S en septembre dernier. La vidéo montre comment la sécurité du terminal de Samsung peut être contournée en utilisant un moulage. Ce dernier est fabriqué dans des conditions de laboratoire mais il s'appuie, ni plus ni moins, sur la photo d'une empreinte digitale, ou plutôt d'une « trace papillaire », déposée sur l'écran d'un téléphone et prise par l'appareil photo d'un terminal mobile. La trace papillaire n'apparait pas immédiatement à l'oeil nu, mais elle peut être visualisée en utilisant de la poudre de magnésium, brossée doucement sur des surfaces dures et brillantes pour les mettre en évidence.
PayPal n'a pas accès aux empreintes
La possibilité d'utiliser l'authentification digitale pour accéder à certains services, comme le système de paiement PayPal, rend d'autant plus préoccupant le fait qu'on puisse tromper le dispositif d'identification du S5, souligne SRLabs. Cette intégration est plutôt incitative pour les hackers potentiels.
PayPal de son côté minimise le risque, indiquant que ce n'est pas l'empreinte qui donne accès au service : « PayPal ne stocke jamais, ni n'a même accès à votre empreinte réelle à travers l'authentification sur le Galaxy S5. La numérisation déverrouille une clef de chiffrement sécurisée qui fait office de mot de passe pour le téléphone. Il suffit de désactiver la clef d'un terminal perdu ou volé et d'en créer une nouvelle ».
Quant à Samsung, contacté par nos confrères d'IDG News Service, il estime que le test de SRLabs est largement considéré dans l'industrie comme un scénario ne présentant pas de risques critiques pour les consommateurs dans la mesure où il s'agit, selon lui, d'une expérience artificielle qui fait appel à une combinaison rare d'équipements, de matériaux et de conditions hautement spécialisés.
L'identification par empreinte digitale reste un compromis
L'authentification par empreinte digitale est devenue une fonctionnalité remarquée sur les smartphones depuis qu'Apple a introduit le Touch ID sur son iPhone 5S, intégré à la touche home du téléphone. Le Chaos Computer Club allemand l'a trompé ce capteur l'an dernier avec une copie en latex d'une empreinte. Ce nouveau détournement d'un tel système, cette fois sur le S5, soulève des questions sur l'efficacité de la technologie. Le SRLabs berlinois considère qu'elle présente deux défauts. Tout d'abord, une empreinte se vole et il n'y a aucun moyen de la changer. Pour contrer cela, il faut que les empreintes numérisées soient très difficiles à voler. Ensuite, les utilisateurs laissent des copies de leurs empreintes digitales à peu près partout, y compris sur les terminaux qu'elles sont censées protéger.
Les dispositifs biométriques sont faciles à utiliser mais constituent un compromis au niveau de la sécurité. Il revient aux fabricants des terminaux de la mettre en oeuvre de telle façon qu'ils ne mettent pas en danger les données et les comptes des utilisateurs, souligne SRLabs. En dépit de la fragilité ainsi démontrée du système biométrique du S5, les ventes du smartphone ne devraient pas être affectées. « La majorité des utilisateurs ne sont pas encore très avertis sur ces problèmes de sécurité ; quand ils achètent un nouveau smartphone, ce n'est pas la première question qui leur vient à l'esprit », estime l'analyste Malik Saadi, directeur chez ABI Research.
(...)| Les 10 documents suivants > |
