Si vous souhaitez recevoir toute l'information "Mot Clé" de notre feed RSS,Inscrivez-vous

643 documents trouvés, affichage des résultats 21 à 30.

< Les 10 documents précédents

Les 10 documents suivants >

(15/03/2012 15:35:30)

Cryptocat, ou comment crypter le chat des messageries instantanées

Nadim Kobeissi, un étudiant libanais de 21 ans résidant au Canada, a cherché un moyen simple et sûr qui permettrait aux utilisateurs de discuter en ligne en protégeant leurs conversations des regards indiscrets. « Petit génie de l'informatique doté d'une forte conscience citoyenne » comme il se décrit lui-même, le jeune étudiant de l'Université Concordia de Montréal a calculé qu'il passait cinq fois plus de temps à développer son projet Cryptocat qu'à potasser ses bouquins de sciences politiques et de philosophie.

A une époque où l'activisme politique se développe sur le web, Cryptocat souhaite fournir un environnement très sécurisé pour les systèmes de messagerie instantanée et contrer les gouvernements qui surveillent l'Internet pour débusquer des opposants. Les programmes de messagerie instantanée sont très populaires, mais, côté sécurité, ce ne sont pas des outils assez fiables pour les militants. Beaucoup de ces applications reposent sur le protocole SSL (Secure Sockets Layer), un protocole de chiffrement utilisé aussi pour sécuriser les transactions commerciales sur Internet. Les messages sont cryptés lors de la transmission, mais les conversations sont déchiffrées sur les serveurs sur lesquels tourne le service de messagerie, si bien que, potentiellement, des intrus pourraient avoir accès à leur contenu. Il y a bien des technologies de cryptage éprouvées pour la messagerie instantanée, comme PGP (Pretty Good Privacy) et OTR (Off The Record), un programme de chiffrement sous forme d'add-on compatible avec des applications de messagerie instantanée comme Pidgin et Adium. Mais le PGP peut être « difficile à utiliser pour les non-geeks », a estimé Nadim Kobeissi. OTR doit être téléchargé, installé et configuré, et il doit être activé chez les deux parties qui discutent pour que les messages soient cryptés.

Un chiffrement 256-bit AES

L'atout de Cryptocat est sa simplicité. Tout d'abord, une des versions du logiciel est basée sur le web, donc il n'est pas nécessaire de la télécharger. L'utilisateur crée une session de chat, choisit un pseudonyme, puis saisit une chaîne de caractères aléatoires afin de générer les clés de chiffrement 256-bit AES correspondant au système de cryptographie à clé publique qu'il utilise. Le cryptage et les clés de décryptage sont stockées dans le navigateur Web de l'utilisateur lui-même, si bien que le système assure une vraie protection d'un bout à l'autre de la chaîne. Selon le jeune étudiant, depuis peu les navigateurs Internet incorporent des moteurs JavaScript suffisamment puissants pour utiliser des clés de chiffrement très longues. Même si un attaquant parvient à s'introduire sur un serveur exécutant Cryptocat, les contenus n'auraient aucun sens et seraient impossibles à décrypter.  Nadim Kobeissi a ajouté d'autres fonctionnalités au client web, comme la possibilité d'inviter ses amis Facebook et d'envoyer des fichiers cryptés à une autre personne.

[[page]]

« Néanmoins, CryptoCat a ses limites, notamment il n'a pas été aussi rigoureusement testé que PGP et OTR,  lesquels ont été éprouvés par les meilleurs cryptographes du monde, » a ajouté l'étudiant. Mais Cryptocat a un peu moins d'un an. « Je le recommanderai aux militants dans 5 ans peut-être, » a ajouté Nadim Kobeissi. « Cryptocat est probablement tout à fait sûr. Mais si les gens comptent sur votre logiciel pour protéger leur vie, il vaut mieux être 100 000 fois sûr de ce que l'on fait. » Le code de Cryptocat est proposé en Open Source, et Nadim Kobeissi a expliqué comment fonctionnait son cryptage afin d'avoir le feedback d'autres spécialistes en cryptologie.

Celui-ci y a ajouté d'autres systèmes de sécurité, puisque Cryptocat est compatible avec Tor (The Onion Router), un réseau mondial qui fait du routage aléatoire sur ses serveurs pour permettre de surfer sur le web de manière un peu plus anonyme. « En utilisant une URL « .oinion » pour Cryptocat, le serveur de Cryptocat ne peut pas identifier l'adresse IP de l'utilisateur réel, » explique le jeune étudiant. Ce dernier a plusieurs autres idées pour améliorer encore plus son logiciel. L'add-on pour le navigateur Chrome de Google est déjà prêt, et Nadim Kobeissi prévoit de sortir des applications natives pour iOS et Android plus tard cette année. Celui-ci a également l'intention d'acheter un de ces mini-ordinateurs à 25-35 dollars Raspberry Pi mis au point par la Fondation Raspberry Pi. Celui-ci imagine qu'on pourrait livrer aux régions qui en ont besoin des packs comprenant un mini-ordinateur Raspberry Pi et son logiciel serveur Cryptocat. « Les organisations non gouvernementales pourraient aussi mettre en place leurs propres serveurs Cryptocat, » a-t-il ajouté. «  C'est une des raisons pour lesquels ce code est Open Source », a-t-il déclaré. « N'importe qui peut le télécharger et configurer son propre serveur. »

(...)

(07/03/2012 10:49:54)

2% des ménages français victimes de fraudes bancaires

(...)

(07/03/2012 10:41:00)

L'Assemblée donne son accord à la future carte d'identité biométrique

L'Assemblée nationale a approuvé mardi 6 mars la proposition de loi qui consiste à établir un fichier central des données biométriques de tous les Français, dans le but de lutter contre les usurpations d'identité. Cette adoption ouvre la voix à une carte d'identité biométrique contenant toutes les coordonnées de son détenteur.

(...)

(01/03/2012 17:13:38)

RSA 2012 : des Trojans pour espionner les smartphones

Deux experts en sécurité ont montré comment les malwares permettant de prendre le contrôle des smartphones à distance sont devenus une sérieuse menace pour les utilisateurs à travers le monde. Au cours d'une démonstration réalisée sur la RSA Conference 2012, George Kurtz et Dmitri Alperovitch, anciens responsables de McAfee ayant fondé la société CrowdStrike, ont installé un outil d'accès distant sur un terminal sous Android 2.2. Ils ont exploité une faille non corrigée dans WebKit, le navigateur par défaut de l'OS mobile, rapportent nos confrères de Computerworld.

Les deux intervenants ont montré devant une salle bondée comment le malware pouvait être amené sur le smartphone par l'intermédiaire d'un message SMS d'apparence inoffensive. Et comment il pouvait ensuite être utilisé pour intercepter et enregistrer les conversations téléphoniques, récupérer des vidéos, voler les messages texte, pister les numéros de composés et localiser l'endroit où se trouve l'utilisateur.

Des malwares obtenus facilement sur le marché

Les outils employés pour l'attaque ont été obtenus facilement auprès de sources clandestines, a indiqué George Kurtz, Le bug WebKit, par exemple, figurait parmi une vingtaine d'autres outils achetés à des hackers pour une somme globale de 1 400 dollars. Le cheval de Troie mis en oeuvre pour l'accès distant était une version modifiée de Nickispy, un malware chinois bien connu.

Apprendre à exploiter la faille WebKit et modifier le Trojan pour l'attaque fut plus difficile à réaliser que prévu, a admis Georges Kurtz. Il estime que CrowdStrike a dépensé environ 14 000 dollars au total pour développer l'attaque. Mais, le plus inquiétant est que des attaques similaires peuvent être réalisées sur n'importe quel téléphone et pas uniquement les modèles sous Android, a ajouté l'expert.

WebKit, par exemple, est largement utilisé comme navigateur par défaut par les autres systèmes d'exploitation mobile, notamment iOS d'Apple et BlackBerry Tablet OS de RIM. Il est également à l'oeuvre dans les navigateurs Safari d'Apple et Chrome de Google.

A l'aube d'une nouvelle vague de phishing

Compte tenu du type de données qu'il est possible de dérober sur les terminaux mobiles, on peut penser que de nombreux hackers cherchent déjà des moyens de transformer les vulnérabilités de WebKit en moyens d'attaque, soulignent les experts de CrowdStrike.

Plusieurs Trojans de contrôle à distance mobiles sont déjà ouvertement disponibles auprès d'entreprises qui les présentent comme des outils permettant de garder un oeil sur les autres. Par exemple, de nombreux programmes de ce type sont commercialisés auprès de conjoints jaloux ou suspicieux. Et il n'est pas difficile de duper des utilisateurs mobiles en installant des malwares sur leurs téléphones, expliquent les experts.

Dans leur démonstration, Georges Kurtz et Dmitri Alperovitch ont utilisé un message SMS qui semblait venir de l'opérateur demandant à son utilisateur d'installer une mise à jour importante. Cliquer sur le lien du message conduisait à télécharger le Trojan sur le téléphone. Exactement comme cela se passe déjà sur les PC, ces programmes malveillants vont proliférer sur les mobiles, prédit Georges Kurtz. Par conséquent, les utilisateurs doivent commencer à vérifier qu'ils ont bien installé les mises à jour sur leurs smartphones, faire attention à ce qu'ils téléchargent et être conscients que le phishing existe aussi sur les mobiles. Les Trojans permettant une prise de contrôle à distance sont de parfaits outils pour intercepter les appels, les textes, les e-mails, capturer les conversations sensibles et localiser les personnes.
(...)

(27/02/2012 17:35:12)

Aux Etats-Unis, les procureurs de 36 États inquiets de la politique de Google

Les procureurs généraux de 36 États se disent préoccupés par les implications potentielles de la nouvelle politique de confidentialité de Google, en particulier pour les utilisateurs qui travaillent pour des institutions gouvernementales et les propriétaires de smartphones sous Android. Dans une lettre très critique adressée au PDG de Google, Larry Page, les procureurs mettent en doute l'engagement et la volonté de Google de protéger la vie privée des consommateurs. Les fonctionnaires de justice pointent le fait que ces changements vont forcer les internautes à partager leurs données sans qu'ils aient ensuite la possibilité de les retirer eux-mêmes. Ce courrier est la dernière manifestation, et sans doute la plus sévère, des préoccupations suscitées par l'annonce de Google de mettre en place une politique de confidentialité unique pour tous ses produits en ligne. En vertu de cette nouvelle politique, qui doit entrer en vigueur le 1er mars, Google va combiner les données utilisateurs de services comme YouTube, Gmail, Google Search, et créer à partir de ces données un profil unique pour chaque utilisateur de ses services.

La protection de vie privée en question

Google justifie cette nouvelle politique en affirmant qu'elle est plus rapide et plus facile à comprendre, et qu'elle va permettre à l'entreprise de fournir des services de meilleure qualité et mieux ciblés aux utilisateurs de ses produits. Le géant de l'Internet avance également que les utilisateurs n'appréciant pas sa nouvelle politique peuvent tout simplement cesser d'utiliser ses services. Dans leur lettre du 22 février, les procureurs généraux trouvent plutôt que « la nouvelle politique de confidentialité de Google va à l'encontre du respect de la vie privée, un atout soigneusement cultivé par Google pour attirer les utilisateurs ». Ils ajoutent que « l'argument qui consiste à dire que les utilisateurs ont le choix de ne pas utiliser l'écosystème des produits de Google n'est pas très solide, dans une économie de l'Internet où la majorité des internautes utilisent souvent au moins un produit Google de manière régulière ». La lettre réserve un passage spécial aux implications potentielles de la nouvelle politique de confidentialité pour les utilisateurs de smartphones sous Android, lesquels constateront qu'il leur sera « pratiquement impossible » d'échapper à cette politique sauf à changer de téléphone et de plateforme.

Suivre tout ce que fait l'utilisateur en ligne

Les défenseurs de la vie privée ont aussi fustigé ces changements, affirmant qu'ils forcent les utilisateurs à partager des données personnelles qu'ils ne veulent pas forcément partager, sans autre choix possible. Selon eux, l'analyse de ces données va permettre à Google de suivre tout ce qu'un utilisateur fait en ligne et lier leur navigation à des profils précis. Certains font remarquer que le traçage des utilisateurs et les éléments que Google pourra tirer des données fusionnées sont particulièrement gênant pour les utilisateurs appartenant à des institutions gouvernementales qui travaillent avec les applications de Google. Un certain nombre de ces préoccupations sont exprimées dans la lettre adressée par les procureurs à Larry Page. « Jusqu'à présent, les utilisateurs des différents produits de Google étaient attentifs au fait que l'information d'un service ne serait pas combinée avec celle des autres services », ont-ils fait valoir. « Les consommateurs ont des centres d'intérêts et des préoccupations diverses. Ils n'on pas envie que l'information de leur historique de navigation sur le Web soit croisée à celle échangée via Gmail », indique la lettre. « De même, les consommateurs sont peut-être à l'aise avec le fait que Google mémorise leurs requêtes de recherche, mais pas disposés à ce que Google puisse les localiser à tout moment. »

[[page]]

Les fonctionnaires de justice ont également exprimé leurs préoccupations en ce qui concernent les utilisateurs d'Android. En vertu de sa nouvelle politique de confidentialité, Google a indiqué qu'il pourra recueillir des informations spécifiques comme le modèle de téléphone et la version du système d'exploitation, le numéro de téléphone, le numéro de l'appelant, l'heure, la date et la durée des appels, les informations de routage pour les SMS et les données de localisation de l'utilisateur. Google a également annoncé que cette politique lui permettrait d'associer l'identifiant de l'appareil ou son numéro de téléphone à un compte Google. Pour échapper à ce suivi, « les utilisateurs de smartphones sous Android qui ne sont pas d'accord avec ce traçage n'auront d'autre choix que d'acheter un nouveau téléphone, » font remarquer les procureurs. « Probablement que beaucoup de ces consommateurs ont acheté un téléphone sous Android sur la base de la politique de confidentialité de Google existante », qui met en avant la possibilité pour les utilisateurs de donner leur consentement éclairé à tout changement concernant la protection de leurs données privées. Or, « cette promesse ne semble pas être honorée par la nouvelle politique de confidentialité ». Les procureurs généraux demandent à Google une réponse d'ici au 29 février.

Google dit faire un gros effort d'information

Dans une réponse envoyée par mail, un porte-parole de Google a réaffirmé aujourd'hui que les changements de la politique de confidentialité de Google sont plus faciles à comprendre. Il a ajouté que l'entreprise a fait un très gros effort d'information auprès des consommateurs pour expliquer ces changements et a minimisé les préoccupations émises au sujet des smartphones sous Android. « Comme dans le cas de notre ancienne politique de confidentialité, les nouvelles modalités affectent les utilisateurs connectés à leurs comptes Google depuis un téléphone Android de la même façon que ceux connectés à leurs comptes Google depuis un ordinateur de bureau », a déclaré le porte-parole. « Dans le cadre de ce changement, nous ne collectons pas davantage de données auprès des utilisateurs sous Android ». Selon lui, « les utilisateurs peuvent toujours utiliser leurs téléphones Android pour passer des appels et accéder à certaines applications du type Google Search et Google Maps, sans avoir à se connecter à leur compte Google », a t-il précisé. « C'est seulement pour utiliser des applications comme l'Android Market et Gmail que les utilisateurs auront besoin de se connecter », a t-il ajouté.

(...)

(27/02/2012 16:56:30)

Données personnelles sur Internet : La Maison Blanche propose un cadre

La Maison Blanche a présenté la semaine dernière une proposition de cadre pour la protection de la vie privée dans un monde désormais connecté. L'objectif est de donner aux consommateurs davantage de contrôle sur la façon dont leurs données personnelles sont collectées, utilisées, stockées et partagées par les sites web et les régies publicitaires en ligne. Dans un document de 60 pages, l'administration Obama a énoncé une série de propositions visant à ce que les différentes parties prenantes d'Internet puissent développer les fondations d'un code de conduite portant sur les données des consommateurs. L'administration travaillera avec le Congrès pour promulguer une législation pour mettre en oeuvre ce code. Mais l'objectif principal de ce plan est d'amener les acteurs de l'Internet, les associations de consommateurs, les groupes de défense de la vie privée, les procureurs généraux des différents Etats américains et les différents organismes chargés de faire appliquer les lois de développer ensemble des standards pour garantir la sécurité des données des consommateurs.

Une participation volontaire des acteurs de l'Internet

L'administration Obama va demander à la FTC (Federal Trade Commission), chargée d'appliquer le droit de la consommation et de contrôler les pratiques commerciales anticoncurrentielles, de se joindre à cet effort. Le ministère du commerce et d'autres instances gouvernementales devraient aussi le faire. Les consommateurs se verraient donner le droit d'accéder à leurs données personnelles collectées par les sociétés Internet. Il serait demandé à ces dernières de réduire la récupération des données, de protéger les informations sensibles et de donner aux consommateurs des renseignements compréhensibles sur ces pratiques. Selon les termes du texte communiqué par la Maison Blanche, il est prévu que la participation des acteurs de l'Internet soit volontaire. Mais la  plupart d'entre eux le feront sans doute en raison de la pression du marché.

La Digital Advertising Alliance, qui rassemble des groupes d'annonceurs en ligne, a déjà dit qu'elle demanderait à ses membres de respecter les demandes de non suivi « Do Not Track » faites par les utilisateurs via leur navigateur web. Ce groupe a déjà mis en place un ensemble de principes d'auto-régulation pour la publicité en ligne mais on ne sait pas exactement combien de sociétés y adhèrent.

Google prévoit d'agréger les données de ses utilisateurs

La proposition de l'administration américaine intervient alors que les utilisateurs se préoccupent de plus en plus sur la façon dont leurs données personnelles sont récupérées par les principaux acteurs de l'Internet. Le mois dernier, Google a révélé qu'il prévoyait d'agréger les données des utilisateurs à travers toutes ses applications, ce qui a déclenché un certain mécontentement parmi les consommateurs et les groupes de défense de la vie privée.

Leslie Harris, président du CDT (Center for Democracy and Technology) considère que l'initiative de la Maison Blanche constitue un pas important à un moment où les consommateurs s'inquiètent de la confidentialité sur Internet. « C'est un engagement sans précédent de la part d'un président », estime-t-elle.

Pour Marc Rotenberg, directeur de l'une de ces organisations (EPIC, Electronic Privacy Information Center), le gouvernement américain relève là un défi. « Le président a jeté les bases d'un cadre excellent, mais sa mise en oeuvre et son application constituera un énorme défi ». L'un des premiers tests de la solidité de ces propositions sera la réponse de la Federal Trade Commission (FTC) au projet de Google de consolider les données des consommateurs à travers toutes ses applications, a-t-il donné en exemple.

(...)

(27/02/2012 11:34:42)

WikiLeaks commence à livrer les e-mails dérobés à Stratfor en décembre

WikiLeaks va livrer à partir d'aujourd'hui près de 5 millions d'e-mails obtenus après le piratage, en décembre dernier, du site web de Stratfor Global Intelligence, société de sécurité et de conseil en intelligence économique et géopolitique.

Les e-mails sont datés de juillet 2004 à fin décembre 2011. Ils contiendraient des informations sur les attaques menées par le gouvernement américain contre WikiLeaks et son fondateur Julian Assange, ainsi que les propres tentatives de Stratfor pour contrer le site dénonciateur. Selon ce dernier, ils révéleraient aussi des pratiques discutables sur la façon dont Stratfor recueille ses informations et cible les individus pour des clients des secteurs privés et publics.

Une violation illégale de la vie privée, estime Stratfor

Commentant dans un communiqué la publication de ces mails dérobés en décembre, la société Stratfor, installée à Austin, au Texas, a estimé qu'il s'agissait d'une déplorable, regrettable et illégale violation de la vie privée. « Certains des e-mails peuvent avoir été falsifiés ou modifiés pour y inclure des inexactitudes. Certains peuvent être authentiques. Nous n'en validerons aucun ». 

WikiLeaks n'a pas révélé ses sources pour les informations qu'il diffuse ainsi vers 25 médias et groupes engagés. Toutefois, les Anonymous ont de leur côté indiqué hier dans un message Twitter qu'ils avaient donné les e-mails de Stratfor à WikiLeaks.

Une liste de personnes ayant acheté des publications

Stratfor a reconnu en janvier avoir été alerté le mois précédent que son site web avait été piraté et que des données sur les cartes de crédit des clients avaient été volées par les Anonymous, de même que d'autres informations. Une nouvelle intrusion a eu lieu sur le site le 24 décembre 2011. Stratfor a démenti que les hackers aient récupéré des données sur des clients privés, ainsi qu'ils le revendiquaient, mais plutôt une liste de membres qui pourraient avoir acheté une publication. 

« Comme il a été dit, les cartes de crédit constituaient un supplément, quelque chose qu'ils ont pris lorsqu'ils ont réalisé qu'ils pouvaient le faire. Ils cherchaient les e-mails », avait indiqué George Friedman, CEO de Stratfor dans un communiqué en janvier.

(...)

(24/02/2012 11:29:48)

Pastebin, le site vitrine des hackers, subit des attaques DDOS

Pastebin, un site privilégié par les pirates pour afficher publiquement leurs exploits et exhiber les données sensibles volées, a subi une rafale d'attaques par déni de services (DDOS). Selon les administrateurs, ces attaques sont destinées à rendre inaccessible le site, notamment utilisé par les Anonymous pour communiquer certaines de leurs actions d'éclat.

La première attaque a commencé mercredi dernier, selon un message publié sur le site Pastebin. Les administrateurs de ce dernier indiquent qu'ils ont initialement bloqué 4 000 adresses IP malveillantes. Mais les attaques ont augmenté depuis. Pastebin a ensuite alerté sur des messages Twitter que le nombre d'ordinateurs réalisant ces attaques était passé à 9000, puis à 12 000, 17 000 et même 20 000. « Ce nombre augmente de minute en minute », a écrit Pastebin. Dès jeudi, les administrateurs ont déclaré que quelque 22 000 ordinateurs les ont attaqués.

Des PC infectés par un botnet à l'insu de leurs utilisateurs

« Ces adresses IP sont susceptibles d'appartenir à des personnes innocentes qui n'ont aucune idée que leur ordinateur est utilisé à cette fin », a déclaré Pastebin. « Il est fortement recommandé de toujours avoir un logiciel antivirus à jour et un bon pare-feu actif ». Le site Internet a également indiqué qu'il prévoit de publier la liste des adresses IP à l'origine des attaques afin que les gens puissent vérifier si leur ordinateur est infecté par le code botnet.

A l'origine, Pastebin est une plate-forme destinée à faciliter le partage d'informations et l'échange de lignes de code entre programmeurs. Les hackers se tournent fréquemment vers Pastebin pour publier des données qu'ils ont subtilisées bien que le site décourage l'affichage de logins, de mots de passe et d'autres données sensibles. Reste à savoir qui est l'origine de ces attaques...

(...)

(21/02/2012 12:29:11)

Google juge dépassée la politique de confidentialité de Microsoft sur IE

« Nous avons constaté que Google contourne la fonction protection de la confidentialité P3P (Platform for Privacy Preferences) dans le navigateur Internet Explorer » a expliqué dans un blog, Dean Hachamovitch, vice-président en charge de l'activité Internet Explorer chez Microsoft. Il ajoute que « le mécanisme de contournement utilisé par Google est différent de celui de Safari, mais le résultat est similaire ».

IE bloque par défaut les cookies de sites tiers, sauf si ces bouts de code sont conformes avec le protocole P3P. Le site doit indiquer quelles informations seront récoltées et doit s'engager à ne pas tracer l'utilisateur. « Techniquement, la méthode de Google utilise une nuance dans la spécification de P3P avec une chaîne de caractères qui lui permet d'éviter les politiques de sécurité installées par Microsoft », souligne Dean Hachamovitch.

Google considère P3P comme dépassé et dangereux pour le web moderne

Rachel Whetstone, vice-présidente, responsable de la communication de Google, a rétorqué dans un communiqué envoyé par courriel à nos confrères d'IDG NS que la politique de Microsoft est « largement non-opérationnelle ». Les fonctionnalités les plus récentes sur les cookies sont cassées lors de leur mise en oeuvre dans Internet Explorer. La dirigeante fait référence au bouton « like » de Facebook, mais aussi à la possibilité de se connecter sur des sites web en utilisant un compte Google. « Il est bien connu qu'il est impossible de se conformer à la demande de Microsoft si l'on veut offrir ces fonctionnalités », précise Rachel Whetstone. Elle ajoute que « le protocole P3P n'a pas été conçu pour des situations nouvelles. En conséquence, nous avons inséré un lien dans nos cookies qui dirige les utilisateurs vers une page où ils peuvent en apprendre davantage sur les pratiques de confidentialité associés à ces cookies ».

Rachel Whetstone enfonce le clou en citant Facebook qui a estimé que cette norme était désuète et ne prenait pas en compte les technologies actuelles du web. La responsable rappelle également que « l'organisation qui a établi P3P, le World Wide Web Consortium, a suspendu ses travaux depuis plusieurs années sur ce standard, car les navigateurs web récents ne le supportent pas complètement ».

(...)

(21/02/2012 10:13:21)

RSA dément la présence d'une faille dans son algorithme de cryptage

La réaction de RSA n'a pas tardé à la suite de l'annonce d'une faille dans les systèmes de cryptage RSA découverte par des chercheurs basés à l'EPFL et aux Etats-Unis. Alors que l'étude estimait que le système de cryptage RSA était défectueux dans 0,2% des cas, RSA riposte en estimant avoir effectué une analyse confirmant que l'algorithme lui-même ne représente aucune vulnérabilité. RSA pointe en revanche du doigt de possibles erreurs d'implémentation, notamment dans le cadre de systèmes embarqués connectés au web.

Ari Juels, chief scientist chez RSA, a souligné «l'utilité de l'étude», qui démontre «les failles relatives aux protocoles de cryptage durant le processus de génération de nombres aléatoires». «A mon sens, explique-t-il, toute cryptographie nécessite de générer des nombres réellement aléatoires. S'il y a un problème à ce niveau-là, l'ensemble du protocole échoue».  Selon lui, la faille ne serait ainsi pas liée à l'algorithme de RSA, mais à la manière dont les clés de cryptage sont générées.

RSA  demande donc de veiller à une implémentation respectant les meilleures pratiques en la matière pour éviter des vulnérabilités, en particulier en relation avec des systèmes embarqués.

ICTjournal.ch (...)

< Les 10 documents précédents

Les 10 documents suivants >