Flux RSS
Internet
5069 documents trouvés, affichage des résultats 1311 à 1320.
| < Les 10 documents précédents | Les 10 documents suivants > |
(29/07/2010 17:18:24)
Facebook connaîtra-t-il le même sort qu'AOL ?
Alors que Facebook vient tout juste de célébrer son 500 millionième inscrit, certains développeurs envisagent un avenir dans lequel les réseaux sociaux seraient décloisonnés. Certaines technologies Open Source pourraient autoriser le partage de statuts, photos ou commentaires sur Internet entre utilisateurs de différents réseaux sociaux, affirme Evan Prodromou, directeur de l'éditeur de logiciels libres de microblogging StatusNet. Les services « Open Social » de ce type existent depuis de nombreuses années, bien qu'ils ne connaissent clairement pas la popularité des leaders actuels du marché.
Les développeurs mettent donc en avant l'interopérabilité de telles offres, qui pourraient libérer les utilisateurs et leurs données des enceintes propriétaires des sites actuels. Ils ont mis en pratique une solution, dans laquelle une personne met en ligne la photo d'une autre sur un service de partage quelconque, marquant cette dernière avec le nom de l'individu représenté. Celui-ci voit alors l'image sur son réseau social de prédilection, tandis qu'une tierce personne, à partir d'une autre plateforme, peut aussi la voir et la commenter. Le message serait alors relayé aux autres services, les deux internautes initiaux pouvant alors le lire. « Un réseau social fédéré serait le réseau ultime, autorisant quiconque à participer » explique Evan Prodromou.
AOL, géant déchu de l'email
Celui-ci illustre son propos en prenant l'exemple des mails. Dès lors qu'une technologie propriétaire devient populaire, elle tend à être remplacée par des spécifications libres. Celles-ci sont alors utilisées par une multitude de fournisseurs de services qui proposent alors des versions génériques du même système. Ce fut le cas dans les années 90 : il fallait, par exemple être chez AOL, en 1992 pour envoyer un mail à un d'abonné de ce FAI. Il était dès lors relativement difficile de relayer les messages provenant de différentes plateformes, celles-ci étant entièrement cloisonnées. Mais en deux ans, les différents acteurs avaient fini par passer à des programmes utilisant le protocole SMTP, fédérant à la fois internautes et fournisseurs de services autour du libre envoi de courriers électroniques. AOL était, avant cela, très populaire, offrant des fonctionnalités Internet tels que les mails, le chat et le surf à des dizaines de millions d'utilisateurs. Et comme Facebook de nos jours, le FAI était critiqué pour ses politiques de confidentialité, der sécurité et pour son usage d'outils exclusivement propriétaires. Mais son éclat s'est terni au fur et à mesure de la mise en place d'un accès Internet plus libre et direct.
L'Open Source avance, mais ne fait pas encore le poids
Quelques standards allant dans le sens d'un réseau social fédéré existent déjà. OpenID et OAuth pour l'authentification, Activity Streams et Pubsubhubbub (Google) pour la publication de notifications multiplateformes, et Salmon pour la soumission de commentaires eux-aussi à différents services sont les exemples les plus aboutis. Un package de différents protocoles existe déjà, dénommé OStatus, combinant les trois derniers cités, ainsi que Portable Contacts et Webfinger. Cette pile de standards va d'ailleurs être utilisée pour concevoir Diaspora, réseau social alternatif qui sortira à la rentrée, tandis que d'autres encore sont en préparation. Evan Prodromou admet toutefois que certains éléments manquent encore : la confidentialité pose problème avec ces outils conçus sur le mode du partage, et des interfaces de programmation d'applications seraient elles-aussi bien utiles.
Ces protocoles seraient pourtant en voie d'être ratifiés. Le World Wide Web Consortium (W3C) étudie des standards destinés aux activités sociales sur le web, et pourrait approuver OAuth prochainement. Pourtant, Chris DiBona, responsable Open Source chez Google, consent à dire que la demande en la matière est encore peu claire, étant donné que le marché est dominé par un oligopole restreint. Le besoin d'intercommunication n'est donc pas si évident. Selon lui, il faudrait pour cela qu'émergent d'autres challengers. Evan Prodromou conclue en indiquant que les leaders ne rejoindront le réseau fédéré que lorsque ce dernier sera devenu incontournable. Google, qui prévoit de lancer prochainement sa propre plateforme, travaille activement la question en rassemblant les technologies nécessaires.
Crédit Photo : D.R.
Fraude massive aux chèques via un botnet russe
La fraude aux chèques est un crime un peu dépassé à l'heure du numérique. Une organisation criminelle russe utilise pourtant des techniques de cybercrime pour réaliser des opérations de falsifications de chèques automatisées s'élevant à plusieurs millions de dollars de préjudice. Elle passe notamment par l'utilisation de botnets, de bases de données financières et d'archives de chèques numérisés. L'organisation, surnommée BigBoss suite à la découverte du nom sur un serveur utilisé durant la fraude massive, a été mise au jour par des chercheurs de SecureWorks. Joe Stewart, directeur d'analyse des malwares pour l'entreprise, précise qu'il s'est aperçu de l'existence de BigBoss durant l'analyse de code botnet sur Internet.
Une large récolte d'informations bancaires
Les botnets sont des systèmes de commande très élaborés, utilisés par les criminels pour contrôler les PC infectés. Ceux sur lesquels SecureWorks effectuait ses recherches, les « ZeuS », sont principalement utilisés pour des délits bancaires, comme le vol d'informations bancaires et le transfert de fonds. Mais Joe Stewart admet que c'est la première fois qu'il relie un de ces codes à une combine de fraude sur chèques. « Je suis tombé sur un échantillon de ZeuS utilisant un tunnel VPN, ce qui était pour le moins inhabituel. Ils étaient en train d'accéder à des archives de copies numériques de chèques, et en téléchargeaient massivement. Ils s'étaient au préalable introduits dans des services d'encaissement ou même des bases de données d'entreprises ». C'est en utilisant la faiblesse de certaines authentifications et l'introduction de vulnérabilités dans les bases SQL des entrepôts de stockage de chèques que BigBoss serait parvenu à les infiltrer. Ironiquement, certaines des images de chèques proviendraient d'un réseau anti-fraude dédié aux commerçants acceptant ce système de paiement. L'organisation criminelle cherchait non seulement ces numérisations, mais aussi le numéro de routage ABA, celui du compte, le nom de l'entreprise et son adresse, et une image de la signature autorisée, le tout pour des milliers de sociétés.
Au final, l'arnaque a exploité frauduleusement 3285 chèques durant les douze derniers mois, totalisant près de 9 millions de dollars afin de piéger les banques pour qu'elles reversent les sommes à travers des comptes d'entreprises légales. Ils étaient dupliqués sur papier avec une précision confondante par le réseau criminel qui entretient apparemment des liens étroits avec la ville de St Petersbourg dans laquelle le groupe voulait transférer l'argent.
Des mules américaines
Les sommes étaient payées à des individus recrutés aux Etats-Unis par l'organisation et qui devaient reverser l'argent sur des comptes créés par BigBoss. Certaines de ces personnes pensaient même qu'il s'agissait d'un réel emploi pour une compagnie finlandaise. Quelques unes des façades étaient épelées avec des fautes d'orthographes suspicieuses, comme Succes Payment ou Global Busines Payment. Les recrutés agissaient donc comme des « mules », acceptant la tâche de déposer les chèques reçus dans leurs propres comptes et de transférer la somme en Russie après coup.
Selon les estimations de SecureWorks, ces mules gagnaient une commission de 15% si elles parvenaient à encaisser les chèques en une journée, ou 8% si elles mettaient plus de temps. BigBoss disposait d'une réserve de 2884 noms de candidats à ce poste ou ayant été contactés par l'organisation suite au dépôt d'une annonce d'emploi sur Internet. Par ailleurs l'organisation aurait aussi piraté des bases de données dédiées à la recherche d'emploi pour dénicher ses recrues.
Il n'est pas encore établi si ces mules avaient connaissance de l'illégalité de leurs activités, mais Joe Stewart en a contacté une douzaine, et a même été frapper à la porte de deux de ces individus pour entendre directement leur version des faits. « Ils ont su directement de quoi je leur parlais. Ils ont souvent admis ne pas avoir compris dans un premier temps ce qui leur arrivait après avoir été contactés par BigBoss, mais au bout d'un certain moment, ils avaient fini par réaliser de quoi il s'agissait ». Une de ces mules a même expliqué que lorsqu'elle ne donnait pas, au bout de deux jours, les informations concernant le transfert de fond, le groupe n'abandonnait pas pour autant. Il lui téléphonait et réclamait l'argent, avec notamment une femme parlant anglais avec un accent russe.
Rester sous le radar des banques
La limite des chèques était de moins de 3000 $ (plutôt entre 2700 et 2900 en général), pour ne pas éveiller les soupçons des banques américaines qui ont certaines obligations lorsque le montant dépasse ce palier. Pourtant, certaines d'entre elles ont malgré tout remis en question la validité de ces chèques, ajoute Joe Stewart, notant qu'il est encore difficile de dire à quel point BigBoss a réussi son coup. SecureWorks a évidemment partagé sa trouvaille avec la justice américaine, et recommande aux entreprises d'utiliser un service appelé « Positive Pay » pour éviter de telles escroqueries.
Même si la plupart des opérations de BigBoss se déroulaient à partir de la Russie et via Internet, il pourrait y avoir eu complicité sur le territoire américain étant donné que la livraison des chèques se déroulait de nuit à partir d'endroits situés aux Etats-Unis. D'après Joe Stewart, l'utilisation d'un trafic crypté par VPN était un moyen d'empêcher la détection des transferts frauduleux par des dispositifs IPS/IDS. « Le principal usage du tunnel VPN était d'autoriser le pirate à rediriger le trafic vers les bots, outrepassant les firewalls et la translation d'adresse qui bloqueraient en principe les connexions provenant d'Internet ». En trois mois, SecureWorks a été en mesure de comprendre les objectifs réels de ce botnet en l'analysant au même titre que tout autre PC infecté.
Crédit Photo : D.R.
Sécurité : Cisco tire la sonnette d'alarme
D'après ce rapport semestriel, le paysage de la sécurité des entreprises ne cesse d'évoluer. Les réseaux sociaux, la virtualisation, le cloud computing et un recours massif à des appareils mobiles continuent d'avoir un impact dramatique sur la capacité des départements IT à maintenir une sécurité réseau efficace. Les premiers sont particulièrement mis en cause par l'étude. En effet, des recherches du Cisco Security Intelligence Operations ont démontré que 7% des utilisateurs du monde entier accédant à Facebook passent en moyenne 68 minutes par jour à jouer à Farmville, 52 minutes à Mafia Wars. Bien que la perte de productivité ne soit pas une menace pour la sécurité, il y a de fortes présomptions que les cybercriminels développent des moyens de distribuer des malwares par le biais de ce type de jeux. Par ailleurs, 50% des utilisateurs finaux ont admis ignorer au moins une fois par semaine les politiques de sécurité de leur entreprise interdisant l'utilisation des réseaux sociaux, et 27% ont confirmé modifier les paramètres de leurs appareils pour accéder à des applications interdites.
Plus traditionnel, le spam continue sa forte progression +30% en 2009. Les pays à l'origine des spams sont les Etats-Unis, l'Inde, le Brésil, la Russie et la Corée du Sud. L'étude montre néanmoins une baisse de ces messages depuis le Brésil, en raison du blocage de certains fournisseurs d'accès à Internet du port d'accès 25.
Cisco propose des pistes pour réduire ces problèmes de sécurité :
-Appliquer des règles de sécurité personnalisées pour les accès aux applications et aux données sur les systèmes virtualisés
-Limiter l'accès aux données de l'entreprise
-Création d'une politique de sécurité pour les terminaux mobiles
-Utiliser des outils de gestion et de contrôle des activités dans le cloud
-Donner des conseils sur l'utilisation des médias sociaux en entreprise
(...)(26/07/2010 17:26:39)Le passage à IPv6 devient inévitable pour pallier la pénurie d'adresses
Il n'y a presque plus d'adresses IP disponibles dans le monde selon un rapport de la Commission Européenne et l'IANA (Internet Assigned Number Authority). Ou du moins, d'adresses IPv4, auxquelles les administrateurs réseaux et utilisateurs sont familiarisés. C'est d'ailleurs pour pallier cette éventualité qu'IPv6 a été développé afin d'augmenter exponentiellement le nombre d'adresses IP disponibles tout en fournissant d'autres avantages. Le protocole présenté par l'IETF (Internet Engineering Task Force) mérite donc d'être étudié de plus près afin de déterminer en quoi il peut être en mesure de « sauver » Internet.
Des milliards de milliards d'adresses en plus
IPv6 utilise un adressage 128 bits, d'où l'augmentation du nombre d'adresses disponibles par rapport à IPv4 qui n'utilise qu'un codage 32 bits. Les experts du routage sont conscient des limitations d'IPv4 depuis les années 80, c'est à dire bien avant l'avènement mondial de l'ère Internet. IPv4 n'autorise techniquement qu'environ 4,3 milliards d'adresses. Or, tous les appareils connectés d'aujourd'hui (serveur, PC du bureau, notebook, netbook, tablette, smartphone...) se voient attribué une adresse. Mais celle-ci bien souvent provisoire pour la majorité des utilisateurs, notamment mobiles. Si l'on couple ce fait avec l'explosion du web en Chine et en Inde, il devient évident que le stock d'adresses IPv4 approche de sa fin. En utilisant des adresses codées sur 128 bits chacune, IPv6 peut, par comparaison, offrir à chaque individu des milliards d'adresses IP personnelles, remplaçant la future pénurie par une surabondance potentielle (667 millions de milliards d'adresses par mm² de la surface terrestre).
Une rétrocompatibilité artificielle mais efficace
IPv6 est rétrocompatible avec IPv4 par translation d'adresse, ce qui offre la possibilité aux constructeurs de matériel et aux fournisseurs d'accès Internet de passer progressivement à la version 6 du protocole sans perturber le flux de données actuel sur Internet. Cette fonctionnalité est particulièrement importante si l'on considère que le web est désormais utilisé pour l'actualité, le commerce, la sécurité nationale et autres domaines critiques. Le remplacement progressif d'IPv4 pourrait bien prendre des dizaines d'années, rendant d'autant plus cruciale cette translation pour un changement virtuellement transparent dans l'usage courant du web. Mais il est bon de précise que celle-ci n'est rendue possible que par l'usage de tunnels entre les protocoles, la compatibilité n'ayant pas été initialement prévue.
Sécurité et performances natives
Ce protocole a été conçu en intégrant nativement des principe de sécurité. IPsec est un composant optionnel d'IPv4, mais devient donc obligatoire avec IPv6. Chaque paquet de données est, via IPsec, crypté et authentifié, rendant difficiles, voire impossibles, la plupart des attaques commises sur Internet aujourd'hui. Des changements ont aussi été effectués sur la façon dont sont constitués les paquets et les en-têtes du protocole, ici simplifiés, mais aussi sur la façon dont les routeurs IPv6 gèrent ces flux de données pour améliorer les performances. Le but est de réduire le nombre de paquets manqués ou perdus, et d'établir des connexions plus fiables et efficaces. Optimiser les performances est aussi un enjeu crucial, les communications par VoIP et le streaming de vidéos étant par exemple des pratiques de plus en plus développées et nécessitant un haut degré d'exactitude des données échangées.
Néanmoins, les coûts de mise en place du protocole restent encore un frein à son déploiement mondial, et la demande est encore inexistante puisque la pénurie à venir ne se fait pas encore sentir de la part des utilisateurs. D'autant qu'un grand nombre d'entreprises et d'établissements publics ont provisionné des paquets d'adresses IPv4 pour pallier toute pénurie, ce qui ralentit d'autant plus le passage à IPv6.
Crédit Photo : D.R.
Activités audiovisuelles, où va France Télécom ?
Des accords pour se désengager de l'audiovisuel
Si on s'en tient aux quelques réponses apportées par Stéphane Richard aux questions de la presse consacrées à sa stratégie dans les contenus, l'opérateur devrait céder la majorité du capital de ses activités audiovisuelles à un ou plusieurs partenaires. Mais si ce scénario est exact, le dirigeant n'aurait pas eu besoin de s'entourer d'autant de spécialistes des médias. Rien que dans son nouveau comité exécutif, ils sont trois : Pierre Louette, le secrétaire général du groupe débauché de l'AFP, qui travaillait chez France Télévisions et a participé à la création de TPS avant ce poste, Christine Albanel, l'ex ministre de la culture devenue la directrice de la communication et responsable de la stratégie contenus, mais que l'on ne sent pas très impliquée, et Raoul Roverato, le jeune poulain de Didier Lombard qui fut l'un des pivots de la stratégie du groupe dans les contenus. Enfin, en dehors du comité exécutif, Stéphane Richard peut aussi compter sur Xavier Couture, qui dirige les chaînes maison et le studio de production ciné. Autant de dirigeants aux compétences reconnues pour une activité qui ne constitue plus, a priori, une priorité de l'opérateur, n'est-ce pas contradictoire ?
Redéfinir l'approche médias
A moins que les propos tenus par le directeur général et compris comme une volonté de désengagement au moins partiel des contenus ne soient pas aussi clairs que ne l'affirme Stéphane Richard. D'autant que comme l'a reconnu le dirigeant, un opérateur télécom se doit d'avoir une stratégie dans les contenus. En fait, il s'agit même d'une priorité, non pas en raison du potentiel direct de croissance des revenus et des résultats que pourrait apporter le développement dans les médias, mais parce qu'il permettra de protéger les autres activités et de conserver aux réseaux toute leur valeur. Explications en tirant les leçons d'Apple ...Le groupe qui a le mieux compris l'intérêt d'offrir des contenus est, sans nul doute, Apple. Steve Jobs a manifestement tiré les leçons de son échec du début des années 90 et compris les causes de la crise qui avaient amené la société au bord de la faillite.
Photo : Stéphane Richard, DG de France Télécom (D.R)
[[page]]
Il ne suffisait pas de mettre les meilleurs produits sur le marché pour qu'ils se vendent, il fallait avoir aussi les contenus pour convaincre les consommateurs de les acheter. Sachant que la partie était perdue dans l'informatique en raison du quasi monopole détenu par Microsoft, Steve Jobs a décidé d'appliquer cette leçon à un autre secteur alors en pleine croissance, la musique. Prenant tout le secteur à contre-pieds, Apple a donc lancé son baladeur, l'iPod, en proposant une offre de téléchargement, iTunes. Le succès de ce couplage a montré que les consommateurs étaient prêts à payer pour une offre légale si le service était simple d'utilisation. C'est ce même modèle qui a été mis au point ensuite pour l'iPhone puis pour l'iPad. Au final, les revenus tirés de la vente de contenus représentent quelque centaines de millions de dollars pour Apple, une paille par rapport aux 25 milliards de revenus du groupe, mais cette activité est essentielle dans le succès des produits maison.
La révolution de l'audiovisuel
Comme le rappelait récemment l'Idate dans une étude consacrée au futur de la télévision, l'audiovisuel vivait jusqu'en 2005 dans un monde parfait. Les chaînes TV étaient les seuls agrégateurs de contenus audiovisuels et contrôlaient les consommateurs via le téléviseur. La numérisation des contenus et le développement des réseaux xDSL (et bientôt fibre optique) à haut débit ont fait exploser ce monde fermé, en faisant des réseaux télécoms un vecteur majeur de diffusion de la vidéo. Cette révolution se traduit notamment par une modification en profondeur du mode de consommation des produits audiovisuels, partout et à la demande. C'est ce qui rend les réseaux télécoms, fixes et mobiles, stratégiques. Mais si les opérateurs ne veulent pas devenir de simples tuyaux (« commodities »), ils doivent fournir à leurs abonnés les contenus qu'ils recherchent et ne peuvent pas se contenter de simples partenariats. La raison ? Les contenus se sont mondialisés, au bénéfice des producteurs américains qui ont la capacité de toucher via les sites en ligne, comme YouTube et Hulu (géolocalisé et encore inaccessible en Europe pour ce dernier), les consommateurs quel que soit l'endroit où ils habitent. Comme cette mondialisation des contenus a tendance à gommer les spécificités locales, notamment en Europe où le poids des programmes « made in USA » domine le paysage audiovisuel, les partenaires audiovisuels nationaux sont de moins en moins en capacité d'offrir aux opérateurs télécoms les programmes attendus par leurs abonnés.
Un passage devenu obligé, le web
D'autant qu'une épée de Damoclès plane au-dessus de la tête de l'audiovisuel européen. Jusqu'à présent, le financement de l'audiovisuel et du cinéma américains était en grande partie assuré par la revente des droits pays par pays. Un mode de financement qui pourrait connaître aussi un profond bouleversement, si les grands noms des médias américains décidaient de court-circuiter les acteurs locaux pour distribuer en direct leurs produits ou accorder des licences d'exploitation sur de grandes zones géographiques à quelques grands noms de l'Internet. C'est d'ailleurs un scénario soutenu par YouTube. Pour faire face à cette révolution, l'une des pistes d'avenir proposée par l'Idate évoquait une fusion verticale entre l'audiovisuel et les télécoms. Un scénario déjà mis en oeuvre en Grande-Bretagne par BSkyB, qui a racheté il y a quelques années un opérateur pour entrer sur le marché du haut débit. Une logique que met aussi en oeuvre, sans aller pour le moment jusqu'au bout, Canal + qui a conclu un véritable partenariat stratégique avec Free. Et de nombreux analystes affirment qu'un rachat par Vivendi de la participation de Vodafone dans SFR aurait pour conséquence de permettre à la chaîne cryptée d'entrer en direct sur le marché du haut (et très haut) débit en utilisant les infrastructures de SFR.
[[page]]
Par ailleurs, on vit également la revanche des fabricants de téléviseurs. Au milieu des années 90, l'industrie informatique n'avait qu'une idée en tête, prendre le contrôle du téléviseur en le transformant en terminal informatique. Mais les quelques initiatives lancées à l'époque échouèrent lamentablement, ni les contenus ni les usages ne permettant alors une telle transformation. Tout commence à changer aujourd'hui. Avec le haut débit et les box de connexion fournies par les opérateurs télécoms à leurs abonnés, le téléviseur devient interactif et peut se substituer au PC comme terminal Internet. Une évolution bien comprise par les fabricants d'électronique grand public qui ont tous lancés des téléviseurs connectées avec une idée en tête, fournir seul ou en partenariat avec l'audiovisuel ou les acteurs de l'Internet des nouveaux services et des contenus permettant de récupérer un revenu supplémentaire auprès de l'abonné télécoms.
Cette évolution se double d'une deuxième avancée, les « box over the top » qui permettent de fournir sur le téléviseur les flux audiovisuels (TNT) et Internet et ouvrant le marché des abonnés télécoms à tout un tas d'acteurs nouveaux. Un fabricant comme le français Netgem travaille dans cette direction. Pour les opérateurs télécoms, la conclusion à tirer de ces révolutions et de la leçon Apple est simple. S'ils veulent garder le contrôle de l'accès, ils doivent avoir une offre de contenus. Et en dehors des produits d'origine américaine, un seul autre produit audiovisuel permet de capter l'audience, le sport et plus précisément le football. Ce fut d'ailleurs le sujet d'une conférence de presse organisée il y a un an par France Télécom pour défendre sa stratégie médias. Raoul Roverato et Xavier Couture avaient alors clairement exposé les conséquences de ces révolutions. Difficile de croire qu'ils aient changé d'avis un an plus tard.
Un marché structuré autour du triple play
Certes le modèle de distribution exclusive adoptée alors pour les chaînes maison était difficilement tenable à long terme, la réglementation en place s'étant prononcée en faveur d'un modèle ouvert d'auto-distribution, c'est-à-dire de mise à disposition des chaînes aux autres réseaux de diffusion. Cette nécessité est d'autant plus grande pour l'opérateur français, par rapport à d'autres opérateurs européens, que le marché français du haut débit s'est structuré autour du triple-play alors qu'un seul acteur a la main sur le marché de la télévision payante. Ce qui n'est pas le cas en Grande-Bretagne où BSkyB doit affronter la concurrence notamment du câblo-opérateur Virgin Media, ou en Italie où Mediaset et Sky se livrent une guerre acharnée. Toute initiative de Canal + dans le haut débit aurait d'importantes répercussions sur les opérateurs télécoms, dans la mesure où il serait le seul à pouvoir proposer des services audiovisuels à valeur ajoutée.
De plus, le prix du triple-play en France, parmi les plus bas du marché européen, est trop bas, aux dires de tous les acteurs y compris de Free qui évoquait en mars dernier une nécessaire augmentation des tarifs. Pour le moment, les opérateurs imaginent pouvoir faire passer cette hausse en proposant des services payants complémentaires, rendus possibles par la fibre optique. A condition qu'ils aient les bons contenus. Ce qui n'est pas gagné compte tenu de la nouvelle donne dans l'audiovisuel. En proposant de véritables services de télévision de rattrapage ou de vidéo à la demande gratuits, ou quasi gratuits, disponibles sur l'écran de télévision, les géants de l'Internet pourraient facilement convaincre les consommateurs de l'inutilité de payer les opérateurs au-delà du service d'accès de base. Or sans ces revenus complémentaires, comment les opérateurs pourront-ils rentabiliser leurs investissements dans les tuyaux et redonner de la valeur aux réseaux ?
Fuite de données personnelles dans Safari
Une des fonctionnalités du navigateur d'Apple, Safari, conçue pour simplifier le remplissage des formulaires, pourrait être utilisée par des pirates pour collecter des informations personnelles si l'on en croit Jeremiah Grossman, directeur de la technologie pour WhiteHat Security. Activé par défaut dans le programme, AutoFill remplit les champs nom, prénom, société, ville, pays et adresse mail automatiquement lorsqu'il reconnaît un formulaire, même si l'internaute n'a jamais visité le site en question. L'application tire ses données du carnet d'adresses de l'OS sous lequel il est installé.
« Tout ce qu'un site malveillant aurait à faire pour extraire des données du carnet d'adresses serait de créer des champs de formulaire dynamiques, et de simuler l'entrée des lettres de A à Z à l'aide de Javascript. Toutes les informations du carnet ayant été insérées par ce procédé dans lesdits champs peuvent ensuite être envoyées à l'attaquant » précise Jeremiah Grossman. Il a d'ailleurs publié une vidéo de l'attaque sur son blog, à l'instar de Robert Hansen, directeur de SecTheory, qui a mis en évidence un code de celle-ci sur son blog pour démontrer le problème.
Une faille simple, mais dangereuse
Les données commençant par des nombres sont quant à elles épargnées, ne s'insérant pas dans les champs, et ne pouvant donc pas être récupérées. « De telles attaques pourraient facilement être effectuées à grande échelle par l'intermédiaire d'un réseau de publicités. Il y aurait alors peu de chances pour que quelqu'un s'en rende compte, puisqu'il ne s'agit pas d'un code s'installant sur l'ordinateur » ajoute-t-il. « Cette vulnérabilité est tellement simple que j'ai pensé dans un premier temps qu'elle avait déjà été rendue publique depuis un moment. Mais en demandant autour de moi, j'ai réalisé que personne n'était au courant ».
Il déclare avoir rapporté le problème à Apple le 17 juin, sans réponse. Pour éviter que cela n'arrive, il suffit de désactiver AutoFill dans les paramètres du navigateur.
Crédit Photo : AutoFill
| < Les 10 documents précédents | Les 10 documents suivants > |