<span>Grâce aux smartwatches Galaxy Gear de Samsung, le personnel la JAL peut recevoir et relayer des informations sur les vols.</span>

L'Image du jour

Grâce aux smartwatches Galaxy Gear de Samsung, le personnel la JAL peut recevoir et relayer des informations sur les vols.

Le cloud tient-il toutes ses promesses ?

Dernier Dossier

Le cloud tient-il toutes ses promesses ?

A l'occasion de sa conférence annuelle Amazon Web Services Summit 2014 à Paris, le géant du cloud avait confirmé que les entreprises françaises, princ...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

ESPACE PARTENAIRE

Webcast

FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER

Flux RSS

Securite

Si vous souhaitez recevoir toute l'information "Mot Clé" de notre feed RSS, Inscrivez-vous

5083 documents trouvés, affichage des résultats 1 à 10.

Les 10 documents suivants >


(24/07/2014 15:04:05)

Yousign optimise son service de signature électronique pour les mobiles

Lauréate du concours des « 101 projets » en fin d'année dernière, Yousign a semble-t-il bien investit la dotation de 25 000 euros qu'elle a reçue en provenance des trois fondateurs de ce concours, à savoir Xavier Niel (Free), Jacques-Antoine Granjon (Vente-privee.com) et Marc Simoncini (fondateur de Meetic). Ainsi, la start-up normande a lancé la deuxième version de son service de signature et d'archivage électronique qui bénéficie pour l'occasion d'une interface remaniée et optimisée pour un usage en mobilité sur smartphones et tablettes et de plusieurs nouvelles fonctions. Parmi lesquelles des relances en un clic, des notifications automatiques, une analyse des procédures en temps réel et la validation d'identité.

Yousign annonce par ailleurs avoir mis en place une offre commerciale pour les entreprises de moins de 3 ans qui bénéficient de 30 jours d'essai gratuit suivi d'une réduction de 50% pendant 6 mois sur l'un des deux forfaits proposés (Starter pour 15 signatures électroniques et Infinity pour un nombre illimité de signatures). Pour fournir son service, Yousign s'appuie sur plusieurs partenaires dont la CDC Arkhinéo, filiale à 100% de la Caisse des Dépôts, mais également Genmsecure (authentification forte pour smartphones) et l'opérateur de télécommunications pour PME et collectivités locales Adista.

(...)

(22/07/2014 17:15:42)

Les backdoors d'iOS pointés par un chercheur en sécurité

Le système d'exploitation d'Apple n'est pas épargné par les failles de sécurité exploitables par les hackers et les agences gouvernementales. Jonathan Zdziarski, un expert en sécurité et hacker à ses heures, explique ainsi sur son blog qu'iOS était une véritable passoire avec de nombreux backdoors exploitables par n'importe qui. Le chercheur n'accuse pas Apple de faciliter le travail de la NSA, mais la présence de failles non corrigées l'inquiète au plus haut point. « Je n'ai pas accusé Apple de travailler avec la NSA, mais je soupçonne (sur la base de documents publiés) que certains de ces services peuvent avoir été utilisés par la NSA pour recueillir des données sur les cibles potentielles. Je ne dis pas qu'il y a un grand complot mais il y a cependant certains services s'exécutant dans iOS qui ne devraient pas être là, qui ont été ajoutées intentionnellement par Apple ». J.Zdziarski indique que le problème provient notamment du service diagnostic d'Apple qui envoie des données à Apple à l'insu de l'utilisateur. Un point inquiétant dans un cadre personnel mais encore plus dans un cadre professionnel. Et il ajoute qu' « il n'existe aucun moyen de désactiver ces mécanismes ». Le chercheur pointe la présence de ces mouchards dans une présentation dévoilée à l'occasion de la conférence Hope/X. Tous ces services contournent le chiffrement d'iOS et sont facilement accessibles aux agences gouvernementales équipées des outils logiciels adéquats.

Sans surprise, Apple a immédiatement démenti avoir sciemment installé des backdoors dans ses produits au profit d'agences gouvernementales amércaines. Et même si c'était le cas, la firme de Cupertino serait dans l'impossibilité de communiquer sur ce sujet sans enfreindre la loi US Foreign Intelligence Surveillance Act et notamment l'article 1881 qui vise le cloud computing. Ainsi, selon un rapport du parlement Européen, si un fournisseur de services cloud américain (ce qui est le cas d'Apple) se décidait à communiquer sur l'existence d'un tel dispositif, il serait passible d'outrage au tribunal fédéral américain relatif au renseignement étranger (US Foreign Intelligence Surveillance Court) et enfreindrait la loi US Espionage Act, qui interdit la publication d'informations classées sur les méthodes de renseignement. De plus, cette loi, tout comme le Patriot Act, peut s'appliquer -secrètement- à chaque société de la planète - même européenne - à partir du moment où elle a une activité commerciale sur le sol américain.

(...)

(22/07/2014 14:24:40)

Des utilisateurs pro réclament le retour des Blackberry

Situation étrange dans une grande entreprise d'investissement new-yorkaise très connue : agacés par les problèmes de performance et de protection de la vie privée de leur terminal mobile, de nombreux salariés se révoltent contre la solution Bring Your Own Device (Byod) choisie par l'entreprise, et réclament à leur employeur de revenir au bon vieux Blackberry. « C'est un cauchemar », a déclaré un responsable informatique qui a demandé l'anonymat. Celui-ci raconte qu'il a essayé quatre produits dédiés à la gestion des terminaux mobiles (MDM) et, quelle que soit la solution, il a eu des problèmes importants. « Des insuffisances dans l'architecture rendent les déploiements difficiles », a-t-il déclaré. L'une des solutions MDM affichait un impressionnant système conteneurisé, mais aucune possibilité pour envoyer des notifications push par mails. Une autre empêchait les vendeurs d'envoyer un courriel à l'intérieur de l'application Salesforce ou d'ouvrir un fichier PDF avec GoodReader.

« L'échec de ces solutions tient à de petites choses insupportables pour les utilisateurs », a encore déclaré le responsable informatique. « Nous sommes une entreprise d'investissement qui emploie plusieurs centaines de personnes. Toutes sont très intelligentes, toutes sont très importantes, et il est très difficile de les satisfaire », reconnaît-il aussi. Et puis, il y a ce problème d'autonomie des batteries, car le MDM épuise l'énergie des téléphones et des tablettes. Certaines applications vident la batterie en quelques heures. « L'une des solutions MDM faisait des requêtes permanentes au serveur comme dans une attaque par déni de service et vidait la batterie des terminaux Android. Il a donc fallu la supprimer », raconte encore le responsable IT.

L'enjeu de la confidentialité des données privées

Mais le plus grand défi du Byod se joue sur la confidentialité des données privées, ou plutôt l'absence de confidentialité. Afin de protéger les données de l'entreprise, la DSI a dû adopter des politiques qui privilégient les droits de l'entreprise, contrariant quelque peu les attentes des salariés. Le service informatique a également limité l'utilisation de certaines applications comme la messagerie instantanée, car toutes les communications entre les employés et les clients doivent être conservées et l'historique des messages textes n'est pas facile à récupérer. En outre, une seule solution MDM était capable d'informer le salarié que l'administrateur IT activait les services de localisation ou qu'il faisait l'inventaire des applications sur son terminal. L'employé pouvait voir ce qui se passait mais ne pouvait pas refuser l'accessibilité.

Avec les solutions d'autres fournisseurs, l'administrateur informatique pouvait agir à l'insu de l'utilisateur. « Ce genre de situations rend les relations parfois difficiles entre l'IT et les utilisateurs », explique le responsable informatique. « Nous sommes devenus Big Brother. Tout le monde était convaincu que tout était fait pour surveiller les salariés. En réalité, il ne s'agissait que de protection des données ». Les salariés ne veulent pas que l'entreprise puisse les localiser quand ils sont en déplacement, en particulier pendant les voyages internationaux, et ils ont pris leurs propres mesures. Beaucoup emportent deux smartphones, un personnel et un professionnel, et quand ils sortent, ils laissent le téléphone de l'entreprise à la maison ou dans la chambre d'hôtel. « Environ 60 % de nos salariés nous ont demandé de revenir au Blackberry, quitte à avoir deux appareils », explique le responsable informatique. « Nous avons été très surpris par les réactions suscitées par la question de la confidentialité ». Beaucoup de cadres sont ainsi attachés au clavier de leur Blackberry ce que le constructeur dans la tourmente semble avoir compris avec la sortie prochaine du classic. Attendu en novembre prochain, avec le Passeport et les successeurs des Z10 et Z30, le terminal Q20 (voir illustration principale) reprend en effet le design démodé des bons vieux modèles de Rim. Mais avec un écran tactile de 3,5 pouces et un OS un peu plus moderne.

Quand l'iPhone devient un outil d'espionnage

Avec le recul, le responsable de l'informatique comprend mieux l'émotion autour de la confidentialité des données privées. Le problème tient au fait que les iPhone sont des terminaux conçus à l'origine pour le grand public. « L'iPhone a été pensé pour l'utilisateur et pas pour l'administrateur IT. Alors, quand un administrateur entre dans un terminal, il a accès à tout. « On peut vraiment accéder à un grand nombre de fonctions sur les terminaux d'Apple, par exemple activer l'appareil photo ou le microphone et écouter les conversations. C'est parfois même assez inquiétant », raconte le responsable informatique.

(...)

(21/07/2014 09:20:10)

L'AFM-Téléthon a retenu Usercube Enterprise pour gérer les identités

L'Association française contre les myopathies (AFM-Téléthon) a été créée en 1958 par des parents de malades atteints de myopathies afin de favoriser la prise en charge des patients atteints. Reconnue d'utilité publique depuis 1976, elle co-organise depuis 1987 le Téléthon. Ses missions d'aide à la recherche médicale, d'aide à la prise en charge des malades et de communication autour des pathologies l'amènent à disposer de nombreux outils informatiques destinés tant aux salariés qu'aux bénévoles, notamment à cinq laboratoires (Généthon, I-Stem, Institut de Myologie, Génosafe et Atlantic Gene Thérapies).

L'AFM-Téléthon s'est engagée dans une refonte de son système d'information et de l'ensemble des processus de ses fonctions support. Ses objectifs sont d'augmenter la performance et la qualité de service ainsi que de réduire les coûts. De la collecte de fonds à la production de dispositifs thérapeutiques, le but est de disposer d'un système urbanisé avec des référentiels uniques, notamment pour le personnel.

Un gestionnaire d'identités centralisé

Afin de limiter les coûts d'implémentation, la DSI de l'association a décidé de recourir à une solution prête à l'emploi facile à mettre en oeuvre. En l'occurrence, il s'agit de Usercube Enterprise. Le déploiement a été opéré après un test de deux jours qui a permis de vérifier l'absence de difficultés techniques à l'intégration. L'outil est donc devenu le gestionnaire central d'identités voulu par l'AFM-Téléthon.

Cette solution gère l'annuaire d'entreprise, avec gestion des mouvements (entrées, sorties, mutations) et de toutes les données ce contact, les utilisateurs pouvant être collaborateurs ou non. Usercube Enterprise permet aux utilisateurs de réinitialiser leurs mots de passe en self-service. Elle intègre le circuit de validation pour l'affectation des ressources matérielles et, enfin, gère les tableaux requis par les exigences de sécurité et de conformité réglementaire. La solution s'intègre à tout le système d'information sans intrusions.

(...)

(18/07/2014 17:24:34)

Recap IT : 18 000 postes supprimés chez Microsoft, Alliance IBM-Apple dans la mobilité d'entreprise, Oracle mise sur SQL pour le big data

Avec pas moins de 18 000 postes supprimés d'ici 2015, on ne peut pas dire que Microsoft y soit allée par quatre chemins pour tailler dans ses effectifs. Des suppressions de postes massives donc qui concernent essentiellement les activités de Nokia (12 500 postes concernés) mais également Xbox. Avec cette réorganisation, la firme de Redmond réduit ses coûts et espère sans doute accroître sa réactivité dans le développement de produits et services mobiles avec une organisation plus resserrée. Il faut dire que la société n'a pas le choix, la concurrence d'Apple faisant office de rouleau compresseur et sa toute récente alliance avec IBM constituant une pierre de plus dans le jardin déjà bien encombré de Microsoft. 

Autres poids-lourd IT a avoir fait parler de lui : Oracle. En annonçant l'arrivée pour l'automne de Big Data SQL, le géant de Redwood espère bien montrer que le chemin pour aller vers l'analyse et le traitement des données en masse passe aussi par SQL. Au travers de ses résultats pour son deuxième trimestre 2014, SAP à quant à lui confirmé sa stratégie de (lente) mutation vers le cloud, car si les abonnements cloud et le support associé ont explosé de 52% sur un an, ils n'ont représenté que 5% de son chiffre d'affaires global sur cette période.

Cette semaine, on retiendra également dans le stockage le partenariat entre Microsoft et NetApp, ce dernier ayant ajouté une option Azure à son offre Private Storage permettant à ses clients utilisant ses baies de stockage de bénéficier d'un accès direct à la plateforme cloud. S'étant déjà distingué la semaine précédente avec une levée de fonds de 150 millions de dollars, Box a de nouveau fait parler de lui en annonçant une extension de son offre de stockage illimité pour les utilisateurs de la version Business de son offre, ainsi qu'un début d'intégration à Office 365. La rédaction a par ailleurs eu l'occasion cette semaine tester le disque dur HGST Ultrastar HE6 gonflé à l'hélium : accéder à notre verdict.

Le chiffrement des webmails dans le navigateur, pied de nez à la NSA ? 

Malgré la fin du support de Windows XP, les utilisateurs de cet OS auront bien droit au patch de sécurité Java 7, du moins pour les quelques mois supplémentaires. Bien décidé à lutter contre les failles et tester les méthodes et techniques utilisées par les pirates pour mieux les déjouer, Google a mis sur pied Project Zero, une équipe sécurité spécialisée. Quant à Tutanota, le site a fait découvrir un chiffrement des webmails dans le navigateur qui laisse les clés de chiffrement aux mains des utilisateurs et pourrait bien constituer un pied de nez à la surveillance des agences gouvernementales.

Petit à petit, la recherche de standardisation de l'Internet des Objets progresse, avec des efforts cette fois-ci consentis par Samsung, ARM et Google qui se sont engagés, au travers du Thread Group, dans une norme permettant aux objets domotiques de communiquer entre eux. Le constructeur coréen Samsung qui a également montré dans la foulée son intérêt dans ce domaine avec dans sa ligne de mire le rachat de SmartThings pour près de 200 millions de dollars. 

A noter également cette semaine les avancés du japonais Fujitsu pour mettre au point un superordinateur allégé doté d'un nombre moins important que d'habitude de commutateurs grâce à un nouvel algorithme de communication et une topologie IT multi-couches à maillage intégral. Dans le domaine de la mobilité, on retiendra aussi le rachat de CardSpring par Twitter qui met une pierre de plus à l'édifice de sa stratégie e-commerce, ou encore de l'arrivée prochaine des lentilles connectées, fruit d'un accord entre Google et Novartis. (...)

(18/07/2014 15:56:51)

IT Tour 2014 : La cybersécurité à l'honneur

Pour faire face à des attaques de plus en plus sophistiquées et pernicieuses, les entreprises et les organisations publiques sont amenées à mettre en place une  surveillance en temps réel des réseaux. La gestion des risques et des vulnérabilités prend également forme, grâce à l'utilisation d'outils big data spécialisés dans le traitement d'analyse des données de cybermenaces et la recherche dans les données non structurées. Objectif : arriver à une surveillance proactive des menaces pour obtenir une visibilité opérationnelle immédiate et enclencher la meilleure stratégie de sécurité possible.

Ces problématiques liées aux cybermenaces, impliquant des plans d'actions de la part des entreprises et des organisations publiques, seront au coeur des sujets abordés à l'occasion de l'IT Tour 2014, série de matinées-débats organisées par LMI dans 7 grandes villes de France : Lyon (le 25 septembre), Strasbourg (le 9 octobre), Nantes (le 16 octobre), Reims (le 6 novembre), Lille (le 20 novembre), Aix-en-Provence (le 27 novembre) et Toulouse (le 2 décembre). Accéder à l'ensemble du programme.

IT Tour 2014

La rédaction du Monde Informatique présentera aussi à l'occasion de ses matinées-débats les résultats de sa grande étude annuelle IT Focus 2014 sur les projets et les budgets informatiques des entreprises. Le questionnaire de cette enquête est d'ailleurs disponible à cette adresse. Par ailleurs, des interventions d'experts sont également prévues avec nos partenaires IBM, Intel, Ricoh ou encore SAP.

L'inscription à l'IT Tour 2014, réservée aux professionnels de l'informatique en entreprise, est gratuite et s'effectue via ce formulaire. Le nombre de places est limitée.

(...)

(17/07/2014 15:14:08)

Avec Tutanota, chiffrer de bout en bout vos webmails

On connaissait déjà ProtonMail, Virtru, Silent Text, Safemail ou encore Lavaboom, il faudra peut-être aussi compter avec Tutanota, un webmail chiffré d'origine allemande. Suite à l'onde de choc provoquée par les révélations d'Edward Snowden, le chiffrement de sa messagerie n'est plus une lubie réservée aux esprits suspicieux. La collecte de données et d'informations à très grande échelle fait bien partie de notre quotidien et tous ceux qui désirent échapper aux grandes oreilles de la NSA savent bien qu'il est indispensable de crypter ses communications. Tutanota chiffre localement les messages dans le navigateur avec une méthode hybride standard constituée d'une clef asymétrique RSA 2048 bits et d'une autre symétrique AES 128 bits. Ce processus de cryptage s'effectue automatiquement entre les utilisateurs Tutanota.

Développé par trois experts en chiffrement, Tutanota est disponible à l'essai avec 1 Go de données après enregistrement sur le site de la société. Attention, le mot de passe précisé à cette occasion est strictement personnel et Tutanota sera dans l'incapacité de le restituer en cas de trou de mémoire. La plate-forme est ensuite très simple à utiliser, puisqu'il suffit d'envoyer un email à un destinataire avec un mot de passe associé. Une fois le mot de passe communiqué à son interlocuteur, il peut relever et lire le message sur la plate-forme de Tutanota sans créer de compte. En créant un mot de passe par interlocuteur, on peut ensuite communiquer en toute sécurité avec ses correspondants. Avec l'offre commerciale, il est possible d'utiliser Outlook 2010 et 2013 pour envoyer et recevoir des messages chiffrés via la plate-forme de Tutanota. Une déclinaison pour smartphone est également attendue dans les semaines qui viennent.

Signalons enfin que le code source de cette messagerie chiffrée est également  disponible pour rechercher d'éventuel backdoor. Une vulnérabilité JavaScript a d'ailleurs été découverte il y a 5 jours par un chercheur allemand en sécurité, Thomas Roth. Tutanota a confirmé qu'il avait colmata la brèche XSS tout en cherchant à minimiser l'importance de la faille.

(...)

(17/07/2014 12:12:26)

Les applications Android restent beaucoup trop intrusives, selon Zscaler

Dans l'économie des applications mobiles, ce sont les logiciels qui « consomment » l'utilisateur et non l'inverse. En tout cas, c'est ce que pense l'éditeur en sécurité Zscaler qui a analysé les autorisations demandées, en préalable à tout téléchargement, par de nombreuses apps proposées dans Google Play. Après avoir examiné les 75 000 applications Android les plus populaires de la plate-forme, le consultant a constaté que dans 68 % des cas, l'utilisateur devait accepter l'envoi de messages SMS, une option qui sert essentiellement aux applications pour facturer les utilisateurs. Dans ce groupe, 28 % des apps ont également exigé un accès aux SMS reçus sur le mobile. Or, cette autorisation présente un risque important dans la mesure où elle peut être détournée pour récupérer les codes d'authentification envoyés par les banques en ligne et d'autres services comme Gmail, PayPal et Twitter.

Selon Zscaler, les autorisations les plus demandées, et les plus risquées, couvrent l'accès aux SMS, au GPS, aux appels téléphoniques, la possibilité de lire des informations personnelles sur les comptes et sur le mobile et l'accès au carnet d'adresses. L'éditeur souligne à juste titre que, même les utilisateurs expérimentés autorisent les applications à accéder à ce genre de données, sans quoi, très souvent, l'application ne peut pas être téléchargée. Cette pratique remet en cause le modèle des autorisations en vigueur sur le magasin Android de Google, mais également sur toutes les plates-formes mobiles. Dans son inventaire, Zscaler a également constaté que 36 % des applications avaient accès aux informations de localisation de l'utilisateur, et que 46 % pouvaient connaître l'identité du terminal en récupérant le code IMEI et l'information de la carte SIM, 10 % entraient dans le carnet d'adresses et 4 % pouvaient même accéder à l'agenda.

Un accès trop important aux données personnelles


Certaines raisons peuvent justifier l'intérêt d'une application à accéder à tout ou partie de ces données, et les propres applications de Google ne sont pas les moins intrusives. Cependant, les autorisations requises par un grand nombre d'autres applications répondent à un business model qui consiste à lier l'application offerte gratuitement à l'utilisateur à un réseau publicitaire dont l'objectif est de recueillir le maximum d'informations possibles pour mieux cibler son message. Les demandes d'autorisation d'accès au carnet d'adresses sont souvent utilisées pour justifier certaines fonctionnalités. Ces accès se font parfois avec le consentement de l'utilisateur, mais pas toujours : les plaintes pour détournement de carnet d'adresses sont devenues légion sur certaines applications de messagerie Android, à tel point que Google a été obligé de modifier les termes et les conditions de sa charte développeurs plus tôt cette année. « À l'origine, Android voulait se donner l'image de système rebelle, ouvert et transparent, pour marquer sa différence avec iOS et l'iPhone d'Apple, jugé rigide et restrictif. Actuellement, l'OS de Google a plutôt la réputation discutable de système voyou », a déclaré Zscaler, qui considère ce jugement peut-être un peu sévère.


Zscaler propose un moteur pour tester la curiosité des apps iOS et Android.

Aujourd'hui, l'utilisateur s'attend à ce que les applications obtiennent les autorisations d'accès sur une base volontaire. Pour le moment, cela semble la seule façon objective de considérer le problème à sa juste dimension. Mais, en premier lieu, il faudrait que le système Android lui-même soit débarrassé de certaines vulnérabilités, comme celle découverte par la société allemande Curasec la semaine dernière, qui permettait à une application tournant sur toute version antérieure à Android  4.4.4, alias KitKat, de passer des appels téléphoniques non autorisés.

(...)

(16/07/2014 16:13:14)

Google présente Project Zero pour lutter contre les failles

Pour faire suite à la découverte, en avril 2014, de la faille Heartbleed par l'équipe de sécurité de Google, le géant de l'Internet a décidé de mettre sur pied un groupe de recherche en interne qui aura pour mission de débusquer les vulnérabilités dans les logiciels Web.

Le groupe va tester les méthodes et les techniques utilisées par les pirates sur les logiciels pour mieux les contrer et réduire le nombre de cyberattaques ciblées. « Chacun devrait pouvoir utiliser le Web sans craindre qu'un malware exploite une faille logicielle pour infecter son ordinateur, voler ses données ou surveiller ses communications », a écrit hier le chercheur en sécurité de Google, Chris Evans dans un blog où est annoncé le Project Zero. « Des attaques sophistiquées continuent à exploiter des vulnérabilités « zero-day » pour cibler des militants des droits de l'homme ou pour faire de l'espionnage industriel. Cela doit cesser. Nous pensons que l'on peut faire plus pour résoudre ce problème », a-t-il encore écrit.

Plus tôt cette année, un chercheur de Google - avec des ingénieurs de la société finlandaise Codenomicon - avait trouvé la faille Heartbleed dans la bibliothèque de cryptographie OpenSSL, exposant des millions de sites à des attaques potentielles. Google veut financer des recherches comme celle qui a permis de débusquer la faille Heartbleed. Pour cela, l'entreprise de Mountain View a rassemblé une équipe de chercheurs autour de son Project Zero et prévoit de recruter d'autres experts en sécurité pour les affecter à temps plein au projet.

La recherche de failles fait aussi partie des attributions de l'équipe Project Zero

« Notre objectif est de réduire de façon significative le nombre de personnes victimes d'attaques ciblées », écrit encore Chris Evans. L'équipe de Project Zero travaillera essentiellement sur les techniques et les technologies utilisées par les cybercriminels. En outre, les chercheurs vont aussi chercher des moyens de protéger les utilisateurs contre ces attaques, grâce notamment à certaines techniques d'analyse de programmes utilisées pour identifier les failles.

Le groupe consacrera aussi une partie de son temps à rechercher de nouvelles failles dans les logiciels qui pourraient être exploitées par des attaquants malveillants pour s'introduire de façon illégale dans les systèmes informatiques. En général, les vulnérabilités dites «zero-day» sont exploitées par les cybercriminels le jour où elles sont rendues publiques, obligeant les éditeurs à se démener pour livrer un correctif dans les plus brefs délais. Project Zero va permettre de créer une base de données externe de tous les bugs identifiés par les chercheurs du projet. Elle sera accessible aux éditeurs ou autres tierces parties chargées du support des logiciels. Google n'est pas la seule entreprise à avoir mis sur pied une équipe d'intervention pour protéger la sécurité sur le Net. L'initiative TippingPoint menée par Hewlett-Packard permet également de recueillir des informations sur les vulnérabilités logicielles. Le département de la sécurité intérieure américain tient aussi à jour la base de données Common Vulnerability Scoring System, un système de notation largement utilisé pour pister les vulnérabilités et évaluer leur gravité potentielle.

(...)

(16/07/2014 09:49:23)

Réforme européenne des données personnelles : les entreprises pas assez préparées

Un règlement européen, directement applicable dans toute l'Union Européenne sans besoin de transposition, devrait être adopté d'ici la fin de l'année sur la gestion des données personnelles. Maisles entreprises sont globalement peu au fait du projet et de ses conséquences éventuelles selon une récente étude du cabinet Vanson Bourne.

Si une petite moitié des entreprises françaises s'estiment globalement bien informée (malgré des réponses douteuses aux autres questions), un tiers n'est pas même informé de l'existence d'un projet de réforme. Or la réforme devrait aboutir à un contrôle beaucoup plus important des usages des données personnelles, notamment en cas de transfert vers des pays non-européens. Et des manquements, après une période de transition de deux ans, pourraient déboucher sur des amendes jusqu'à 100 millions d'euros ou 5% du chiffre d'affaires. Moins d'une entreprise sur cinq applique aujourd'hui ce qui sera la règle demain, à savoir l'information des clients dont on a perdu des données.

Le délai de mise en conformité de deux ans n'est connu que par moins d'un tiers des entreprises. Plus des deux tiers n'ont aucune idée des nouvelles sanctions prévues. Un tiers ignore que le règlement sera directement applicable, même sans transposition, et un peu plus pense que le règlement ne sera jamais adopté. Moins d'un tiers estime que les outils informatique actuels sont insuffisant pour faire face à ce défi. Mais les deux tiers jugent que la réforme sera utile à la protection des données. (...)

Les 10 documents suivants >


Publicité
Publicité
Publicité