Flux RSS
Intrusion / hacking / pare-feu
718 documents trouvés, affichage des résultats 181 à 190.
| < Les 10 documents précédents | Les 10 documents suivants > |
(04/08/2011 12:02:34)
Operation Shady Rat : McAfee révèle l'action ciblée d'un groupe de pirates depuis 2006
Le fournisseur de solutions de sécurité McAfee a publié cette semaine un rapport détaillé sur un groupe de pirates qui aurait forcé la porte de 72 entreprises, organisations internationales et organismes gouvernementaux, dans 14 pays depuis 2006, pour dérober des secrets nationaux, des documents commerciaux et autres informations sensibles. Selon le rapport, les assaillants semblent appartenir à un groupe unique agissant pour le compte d'un gouvernement, un profil qui diffère de celui de groupes d'activistes comme Anonymous et LulzSec responsables d'attaques récentes moins sophistiquées. Dans son document, l'éditeur américain racheté l'été dernier par Intel ne dit pas pour quel pays travailleraient ces pirates, contrairement à Google, qui, pas plus tard que le mois dernier, a accusé la Chine de pirater les comptes Gmail de plusieurs responsables américains de haut rang.
Ces attaques, désignées sous le nom d'Operation Shady Rat, ont été découvertes après que McAfee a eu accès à un serveur de commande et de contrôle qui a recueilli les données d'ordinateurs piratés sur lesquelles ont été conservées la trace de ces intrusions. « Après une analyse minutieuse des états de logs, nous avons été nous-mêmes surpris par l'énorme diversité des entreprises touchées, mais aussi par l'audace des attaquants », écrit Dimitri Alperovitch, vice-président de la recherche sur les menaces chez McAfee, et auteur du rapport. Ce dernier estime même qu'au cours des cinq à six dernières années, il n'y a rien eu de comparable en matière de « transfert de richesse » résultant d'une opération de piratage.
Des données de diverses natures
Parmi les données volées, on trouve un peu de tout. « Des renseignements classifiés transitant sur les réseaux gouvernementaux, du code source, des archives de mails, des informations relatives à des contrats de prospection de pétrole et de gaz, des contrats juridiques, les configurations du système de télésurveillance et d'acquisition de données SCADA (Supervisory Control and Data Acquisition), des documents de cabinets d'études et plus encore », révèle le rapport de Dimitri Alperovitch. McAfee a refusé de dire quelles entreprises et organisations avaient été touchées, mais parle « d'une entreprise sud-coréenne du secteur de l'aluminium », « du premier fournisseur d'armes du gouvernement américain », ou encore « d'entreprises d'électronique taïwanaises », entre autres. Parmi les organisations nommées, on trouve le Comité international olympique (CIO), l'Agence mondiale anti-dopage, les Nations Unies et le Secrétariat de l'ASEAN (Association des nations de l'Asie du Sud-Est). Ces organisations ne présentent pas d'intérêt économique pour les pirates, signe que ces intrusions revêtent un caractère politique, « une action menée par un Etat », pense Dimitri Alperovitch.
Un piratage qui culmine en 2009, puis décline
Le groupe de pirates a eu accès aux ordinateurs en envoyant des emails ciblés à des individus au sein des entreprises ou des organisations. Ces emails contenaient un germe d'attaque (« exploit ») qui, lorsqu'il était exécuté, provoquait le téléchargement d'un morceau de logiciel malveillant qui communiquait avec le serveur de commande et de contrôle.
En 2006, huit organisations ont subi de telles attaques, un nombre qui a grimpé à 29 en 2007, indique le rapport. Le nombre d'organisations victimes de ce piratage est passé à 36 en 2008, pour culminer à 38 en 2009, avant de décliner, « probablement en raison de la mise à disposition de contre-mesures pour empêcher ces modalités d'intrusions spécifiques utilisées par cet acteur particulier », indique l'auteur du document. La durée des intrusions est allée de moins d'un mois à plus de deux ans dans le cas du Comité olympique d'un pays asiatique dont le nom n'est pas non plus mentionné.
Source illustration : McAfee
BlackHat 2011 : Voler une voiture avec un SMS
Don Bailey et Mathew Solnik, chercheurs en sécurité au cabinet d'analyse iSec Partners ont réussi à pirater les protocoles de certains éditeurs de logiciels utilisés pour contrôler à distance les voitures. Ils ont produit une vidéo montrant comment ils ont pu déverrouiller une voiture et mettre le contact via un ordinateur portable. Selon Don Bailey, il leur a fallu environ deux heures pour trouver comment intercepter les messages (soit un SMS ou des données envoyées par GPRS) qui transitent entre le circuit GSM de la voiture et le réseau mobile, puis les réécrire depuis son ordinateur portable.
Les chercheurs vont discuter de ses travaux lors de la conférence Black Hat qui se déroule la semaine prochaine à Las Vegas, mais ils ne donneront pas le nom des produits qu'ils ont piratés. Ils ne donneront pas non plus tous les détails techniques, pour que les éditeurs de logiciels aient le temps de les corriger. On peut néanmoins penser à l'application OnStar RemoteLink, qui peut être utilisée pour démarrer et déverrouiller les portes de nombreux véhicules récents de General Motors. Un logiciel similaire est aussi disponible pour d'autres marques de voitures, y compris Mercedes et BMW.
Une méthode qui sniffe les messages
Don Bailey a baptisé sa méthode de « war texting », en référence à une autre technique de piratage appelée « war driving », qui consistait à conduire dans une ville à la recherche de données sur les réseaux sans fil. Le war texting est techniquement complexe. Tout d'abord, les chercheurs doivent identifier les voitures qui utilisent ces applications mobiles. Ensuite, il faut trouver un moyen de communiquer avec elles. A travers les applications, le téléphone se connecte à un serveur qui transmet une clé numérique sécurisée au module GSM de la voiture afin de s'authentifier, mais les chercheurs ont trouvé le moyen de contourner cela en captant les messages (en général un SMS ou des data via GPRS) envoyés entre le serveur et la voiture sur le réseau mobile, Don Bailey a déclaré dans une interview, « nous utilisons la rétro-ingénierie du protocole, puis nous élaborons nos propres outils pour que le protocole contacte le système ».
Les chercheurs de iSec estiment que ces dernières années, la connectivité cellulaire a été intégrée dans une gamme variée de périphériques - du cadre photo en passant par la voiture et les compteurs intelligent -, un moyen peu coûteux et facile pour se connecter. Selon Don Bailey, la sécurité a souvent été pensée après coup et beaucoup de ces produits peuvent être piratés et utilisés de manière abusive.
Les travaux dans ce domaine ont décollé au cours des dernières années avec des outils Open Source qui ont donné aux pirates des moyens peu coûteux pour créer leurs propres réseaux mobiles de test. En avril dernier, Don Bailey avait utilisé des techniques similaires pour pirater les outils de localisation de Zoombak et il indiquait qu'une centaine d'autres produits identiques n'avaient pas été examiné. « Cette faille d'architecture peut s'étendre aux activité industrielles » conclut-il.
Crédit Photo: D.R
(...)(28/07/2011 10:28:22)5 erreurs à éviter en sécurité (MAJ)
Comme le nettoyage des vitres, la sécurité informatique peut être une tâche ingrate, car cela se remarque seulement lorsque cela n'est pas fait. A l'ère de la virtualisation, du "Cloud Computing" et des smartphones, on se doit d'éviter certaines erreurs techniques et politiques. Notre confrère américain NetworkWorld décrit cinq erreurs à éviter en matière de sécurité.
1. Penser que la vision du business de votre organisation est la même qu'il a cinq ans
Ceci est totalement faux. Le pouvoir et l'influence des responsables de systèmes d'information et de la sécurité ont été rognés à partir du moment où l'entreprise a autorisé les employés à utiliser des appareils mobiles personnels au travail, et depuis qu'elle a poussé des ressources informatiques traditionnelles et d'autres applications en mode Cloud Computing, parfois sans prévenir les responsables informatiques.
Face à ces changements, il est conseillé aux managers des systèmes d'information d'être pro-actifs en introduisant des pratiques de sécurité raisonnables en ce qui concerne les choix des technologies qui évoluent rapidement. Ces choix sont parfois réalisés par des personnes extérieures au département informatique. Les missions des responsables informatiques peuvent être qualifiées de « missions-impossibles » mais ce sont les leurs, et elles peuvent conduire à la mise en place d'une nouvelle politique de sécurité afin d'identifier et de catégoriser les risques afin que les responsables de l'entreprise ne se fassent pas une fausse idée des enjeux.
2. Ne pas réussir à construire des relations qui fonctionnent entre le département informatique et les autres managers de rang élevé
Les équipes en charge de la sécurité informatique sont généralement petites par rapport au reste du département informatique. La sécurité informatique repose alors sur les équipes informatiques afin de s'assurer que les mesures de protection de base sont bien effectuées. Le professionnel en charge de la sécurité informatique doit avoir des connaissances spécifiques pointues et de bonnes certifications en poche (comme le CISSP), mais cela ne signifie pas pour autant qu'il est forcément admiré ou aimé - d'autant plus que les gens en charge de la sécurité sont généralement réputés pour être ceux qui disent "non" aux projets des autres personnes.
Par ailleurs, il ne faut pas penser que l'organisation de l'entreprise est telle que le directeur informatique est toujours le preneur de décisions. Un changement fondamental se produit. Le rôle du CIO en tant que dirigeant et décideur pour les projet IT est entrain de décroitre au profit des directeurs financiers qui ont le dernier mot.
NetworkWorld estime même que certaines preuves révèlent que les directeurs financiers n'apprécient guère les directeurs informatiques. Les idées des directeurs financiers en matière de sécurité ne dépasseraient pas les simples aspects de la conformité à la réglementation en vigueur. Le travail pour le professionnel de la sécurité doit être de communiquer, communiquer, communiquer.
3. Ne pas être conscient des problèmes de sécurité soulevés par la virtualisation
Les entreprises sont sur la route de la virtualisation de 80 % de leur infrastructure de serveurs. Les projets de virtualisation des PC de bureau sont quant à eux en augmentation. Mais la sécurité est à la traîne, beaucoup pensent encore à tort qu'elle se résout avec l'usage de réseaux virtuels VLAN. La réalité est que les architectures de virtualisation ont tout changé en ouvrant de nouvelles voies qui peuvent être exploitées par des pirates. Cela s'est déjà produit à de multiples reprises dans l'industrie informatique : des technologies révolutionnaires sont devenues disponibles mais une attention insuffisante a été accordée à l'impact sécuritaire qu'elles pouvaient avoir.
Certains produits traditionnels de sécurité, tels que les logiciels antivirus par exemple, ne fonctionnent pas bien sur des machines virtuelles. Les "appliances" matérielles peuvent présenter de nouvelles failles ou être invisibles sur le réseau et donc difficiles à contrôler. Aujourd'hui, les produits de sécurité spécialisés pour les environnements virtualisés arrivent enfin sur le marché - et les professionnels de la sécurité doivent comprendre s'ils doivent être utilisés ou pas. En parallèle, ces mêmes professionnels doivent tenir compte des évolutions en matière de sécurité des éditeurs tels que VMware, Microsoft ou Citrix. La virtualisation s'annonce très prometteuse en matière de sécurité pour améliorer le redémarrage de l'informatique en cas d'incident majeur.
Crédit photo : D.R.
[[page]]
4. Ne pas donner suite à une fuite d'informations
C'est un scénario cauchemardesque dans lequel les données sensibles sont volées ou accidentellement divulguées. En plus des techniques de détection ou de correction, les responsables de l'informatique doivent suivre l'évolution de la loi en matière de fuites de données.
Mais quelles lois ? Cette question se pose particulièrement aux États-Unis où presque chaque état a maintenant ses propres lois sur la fuite de données et qu'il existe des règles fédérales. Quand une fuite de données arrive, cet évènement - souvent coûteux - requiert une participation coordonnée du directeur de la sécurité IT, du département IT, du service juridique, des ressources humaines et de la communication, au minimum. Il est préconisé que ces organisations se réunissent pour planifier le pire des scénarios de gestion de crise. En Europe et en France, les lois sont également en train d'évoluer et préparer des scénarios de gestion de crise est tout aussi indispensable, notamment afin d'éviter toute dégradation de l'image de l'entreprise auprès du public.
5. Se reposer sur les fournisseurs de sécurité informatique
NetworkWorld estime qu'il est nécessaire d'avoir de solides partenariats avec les éditeurs et les fournisseurs de sécurité informatique. Mais le danger, comme dans toutes relations avec un fournisseur, est d'oublier de regarder les produits et les services avec un oeil critique, en particulier en ce qui concerne la comparaison du service ou du produit avec les offres de la concurrence.
Il est nécessaire également d'examiner s'il est possible de trouver de nouvelles approches aux problèmes de base tels que l'authentification et l'autorisation, l'évaluation des vulnérabilités et la protection contre les malwares. De nombreux fournisseurs ont du mal à adapter leurs solutions de sécurité traditionnelles aux domaines de la virtualisation et du cloud computing. Dans un certain sens, c'est un peu le temps du chaos à l'heure où l'industrie informatique entreprend de se réinventer. Mais cela signifie que l'équipe en charge de la sécurité informatique va devoir s'imposer pour obtenir ce qu'elle croit nécessaire à l'entreprise maintenant et demain.
(...)
Attention aux arnaques web Amy Winehouse et Oslo
Comme à chaque événement planétaire ou presque, la mort de la chanteuse Amy Winehouse a provoqué un déferlement d'arnaques par le biais de fausses vidéos trash. S'ils cliquent sur les liens qui leurs sont proposés, les internautes tombent sur des sites de sondages qui n'ont rien à voir mais qui rapportent de l'argent aux escrocs.
Des images d'Amy Winehouse morte ou consommant de la drogue, voilà la promesse de liens bidons qui fleurissent sur Facebook depuis la mort de l'artiste le samedi 23 juillet, à l'âge de 27 ans. Au lieu de vidéos, l'internaute se trouve face à des sites de sondages en ligne enrichissant les arnaqueurs.
Le même phénomène touche d'ailleurs les attentats d'Oslo avec là aussi de fausses vidéos circulant sur le réseau. Il y a quelques mois, des attaques similaires avaient eu lieu lors de la mort d'Oussama Ben Laden.
(...)(22/07/2011 16:56:05)RecapIT : Des résultats financiers records, Lion sort ses griffes, Acquisitions dans le réseau
Point de trêve estivale pour les sujets IT. Cette semaine, le mot d'ordre était record au regard des différentes publications des résultats des sociétés liées aux nouvelles technologies. Comment ne pas parler d'Apple qui flirte avec la 1ère place mondiale en termes de capitalisation boursière en confirmant le succès des ventes d'iPad et d'iPhone. A croire que la crise est derrière nous, Google, EMC, Microsoft ont déjoué les pronostics des analystes en publiant des résultats supérieurs aux prévisions. Même Intel échappe à l'érosion du marché des PC et affiche une bonne santé.
Sur le plan des acquisitions, on notera cette semaine une focalisation autour de la brique réseau au sein des datacenters. Intel a ainsi fait l'acquisition de Fulcrum, spécialiste de puce réseau et Dell a annoncé le rachat de Force10 Networks.
Mac OS X Lion rugit et Anonymous affaibli, mais persiste
Autre élément important cette semaine, la sortie officielle de Mac OS X Lion, disponible en téléchargement sur l'AppStore. Plus d'un million de téléchargements ont été enregistrés dès le premier jour de lancement. Par ailleurs, la firme de Cupertino a rénové sa gamme de Mac Book Air et Mac Mini.
En matière de sécurité, les Anonymous font toujours parler d'eux. 16 de leurs membres ont été arrêtés par le FBI aux Etats-Unis pour des faits de piratage contre le site de paiement en ligne Paypal. En début de semaine, le groupe de pirates a annoncé la création d'un réseau social Anonplus, qui se veut ouvert, sans censure. Les Anonymous continuent leur activisme en annonçant avoir piraté l'OTAN et volé plus de 1Go de données, dont certaines sensibles.
Alerte Google sur les malwares
Le moteur de recherche Google s'apprête à avertir ses utilisateurs de la présence de logiciel malveillant sur leur ordinateur fonctionnant sous Windows, selon une note Damian Mensher, ingénieur en sécurité chez Google.
De fait, le moteur peut reconnaître certains types de malwares lorsqu'il constate un trafic inhabituel de données en provenance d'un seul ordinateur. En effet, ces logiciels se servent des ordinateurs infestés comme de relais pour envoyer des flux très importants d'informations en continu.
L'alerte prendra alors la forme d'un bandeau en haut de la page de recherche de Google. Mais en aucun cas l'éditeur ne se substitue à un antivirus, comme il le rappelle sur la page support prévue à cet effet. (...)
16 membres d'Anonymous arrêtés par le FBI
Le 19 juillet, le FBI a déclaré avoir interpellé quatorze individus supposés d'appartenir au groupe de hackers Anonymous pour leur participation présumée à une série d'attaques par déni de service (DDoS) contre PayPal l'année dernière. Les accusés, dont la plupart sont âgés de 20 à 40 ans, ont été arrêtés dans l'Alabama, en Californie, au Colorado, dans le District de Columbia, dans le Massachusetts, et dans cinq autres États. Tous ont été inculpés devant le tribunal fédéral de San José.
Deux autres individus ont également été arrêtés a déclaré le FBI dans dans un communiqué, toujours pour des faits liés à la cybercriminalité. L'un d'eux, Scott Matthew Arciszewski, 21 ans, a été arrêté en Floride après avoir accédé et rendu publics des fichiers stockés sur le site web d'InfraGard à Tampa Bay. InfraGard est notamment affilié au FBI pour la collecte et le partage d'informations avec d'autres agences fédérales américaines.
L'autre acte d'accusation a été déposé auprès d'un tribunal fédéral du New Jersey, et concerne Lance Moore, 21 ans habitant Las Cruces. Ce dernier est soupçonné d'avoir volé des informations commerciales protégées sur un serveur d'AT & T en juin de cette année, et d'avoir publié ces documents sur un site d'hébergement de fichiers publics. Les milliers de documents, applications et fichiers que Lance Moore est accusé d'avoir dérobés, ont été rendus public plus tard par le groupe de hackers LulzSec selon l'acte d'accusation.
Des attaques contre PayPal
Selon le tribunal de San Jose, le 14 individus appréhendés aujourd'hui étaient tous membres du collectif Anonymous qui a organisé plusieurs attaques contre PayPal en décembre en représailles contre son opposition à Wikileaks. Peu après que le site de Julian Assange ait commencé à publier des documents diplomatiques classés du département d'État américain en novembre dernier, PayPal et Visa avaient décidé de mettre fin à leur collaboration avec Wikileaks invoquant des violations de leurs conditions de service. Le site Wikileaks récupéré des dons pour financer ses activités grâce aux plates-formes monétiques des deux sociétés.
En rétorsion, le collectif Anonymous avait déclenché une série d'attaques DDoS de contre PayPal. Des attaques similaires ont également été effectuées par les membres d'Anonymous contre d'autres sites considérés comme hostiles à Wikileaks.
Les attaques, baptisées « Operation Avenge Assange », avaient été coordonnées par Anonymous aide d'un outil Open Source baptisé Low Orbit Ion Cannon que le collectif a rendu disponible en téléchargement public pour tous ceux qui voulaient participer à ces actions de représailles.
Jusqu'à 15 ans de prison selon l'accusation
Les 14 personnes inculpées à San Jose ont toutes été accusées de complot visant à causer des dommages intentionnellement à un ordinateur protégé. L'accusation de complot comporte un maximum de cinq ans de prison et une amende 250 000 dollars, tandis que la charge de dommages intentionnels entraîne une peine maximale de 10 ans de prison et d'une pénalité financière de 500 000 dollars, indique le FBI dans sa déclaration.
Les personnes nommées dans l'acte d'accusation de San Jose sont Christopher Cooper, 23 ans, Joshua Covelli, 26 ans, Keith Downey, 26 ans, Mercedes Haefer, 20 ans, Mari Donald, 29 ans, Vincent Kershaw, 27 ans, Miles Ethan, 33 ans, James Murphy, 36 ans, Drew Phillips, 26 ans, Jeffrey Puglisi, 28 ans, Daniel Sullivan, 22 ans, Tracy Valenzuela, 42 et Christopher Quang Vo, 22. Un seul individu est resté anonyme.
Illustration principale crédit photo D.R.
[[page]]
Les raids du FBI interviennent alors que l'activité du groupe Anonymous est en nette hausse. Juste la semaine dernière, les membres du collectif avaient revendiqué leur intrusion dans les ordinateurs de la SSII Booz Allen Hamilton travaillant notamment pour l'armée américaine. Les adresses e-mail et les mots de passe de plus de 90 000 employés travaillant pour les forces armées US avaient été dévoilés.
Plus tôt ce mois-ci, Anonymous a été étiqueté comme groupe cyber-terrorisme par le département de la Sécurité publique de l'Arizona, après que les membres du collectif aient attaqué plusieurs reprises les sites des syndicats de la police de l'Arizona pour protester contre les lois de l'État en matière d'immigration. En décembre dernier, Anonymous avait lancé une série d'attaques DDoS contre plusieurs organisations, dont PayPal et Amazon.com, pour protester contre ce qu'elle prétendait être des efforts concertés pour étouffer le site Wikileaks.
Une opération destinée à marquer les esprits
Les raids du FBI de ce jour ne sont pas vraiment une surprise a déclaré Josh Shaul, CTO d'Application Security Inc. « Ils ont mis beaucoup de gens en colère. Quand vous jouez avec le feu, vous allez vous brûler ».
Point inhabituel, certains membres d'Anonymous ne semblent pas avoir fait beaucoup d'efforts pour dissimuler leurs traces, ajoute le directeur technique. « Il semble que toutes ces personnes inculpées étaient particulièrement insouciantes quant à leurs activités de piratage ».
Beaucoup des récentes attaques d'Anonymous et du groupuscule LulzSec ont été conçues pour embarrasser les cibles et non pas destiner à voler des données ou purement et simplement saboter des systèmes d'informations. Mais même ainsi, «ils [les représentants de la loi] ont certainement décidé de faire un exemple à l'attention de tous ceux de tous ceux qui désirent participer à ces mouvements», conclut John Shaul. Les Anonymous ont désormais des noms...
Cybersécurité : les militaires américains s'inspirent de l'expérience des entreprises privées
Dans un document, intitulé « Stratégie de Défense dans le Cyberespace », le Pentagone fait l'éloge des bonnes pratiques du secteur de l'industrie, notamment sa promotion d'une informatique sûre auprès des utilisateurs, sa manière « saine » de concevoir et de sécuriser les réseaux, et appelle clairement à s'inspirer des pratiques du secteur privé pour la sécurisation de ses réseaux. « Le ministère de la Défense va intégrer les objectifs de renouvellement continu en oeuvre dans le secteur privé, en vue de renforcer ses propres dispositifs informatiques et maintenir de bonnes pratiques dans le domaine de la cyber sécurité, » insiste ainsi le document. « Ces pratiques saines doivent être appliquées par tous, à tout moment. Car, c'est aussi important de mobiliser les individus pour qu'ils se protègent eux-mêmes, que de maintenir des logiciels de sécurité et des systèmes d'exploitation à jour. »
Cette initiative s'inspire de modalités en cours dans le secteur privé pour atteindre certains objectifs. Par exemple, le Ministère de la Défense américain invite les FAI à collaborer avec le gouvernement pour l'aider à atténuer les risques pouvant affecter les réseaux militaires. Il appelle à une coopération avec le secteur privé pour renforcer les chaînes d'approvisionnement et minimiser les risques que représentent certains produits et services achetés à des entreprises situées hors des États-Unis. Ou encore, à se protéger contre « les produits contrefaits qui présentent également un risque qu'il faut limiter, » comme l'indique le document du Departement of Defense (DoD) américain.
Raccourcir le déploiement des programmes
L'armée va notamment raccourcir le cycle de vie de ses infrastructures réseau, et se mettre au rythme des pratiques communément en cours dans le secteur privé - 12 à 36 mois, contre à sept ou huit ans actuellement. « Pour reproduire le dynamisme du secteur privé et mieux profiter, des concepts informatiques émergents, les processus d'acquisition du DoD en matière de technologie de l'information, adoptera cinq principes, » préconise le document. À savoir : faire correspondre le processus d'acquisition avec les cycles de développement de la technologie ; préférer le test et le développement par étape, plutôt que de déployer des systèmes monolithiques ; donner la priorité à la rapidité du déploiement plutôt qu'à une certaine personnalisation ; imposer différents niveaux de surveillance pour les systèmes critiques ; effectuer une évaluation approfondie de la sécurité de tous les nouveaux systèmes, notamment, ne laisser aucune porte dérobée ouverte, et n'activer aucun module en cours de test.
Mais le Pentagone ne se contente pas de se caler sur les pratiques des entreprises. Sa stratégie comporte quelques initiatives dont le secteur privé pourrait s'inspirer. Mais elles sont souvent trop vagues, et ne définissent pas de modalités suffisamment claires qui serviraient de base ou d'exemple. Le document évoque l'établissement d'une culture de la sécurité à travers la formation et demande des sanctions plus strictes pour les actions malveillantes ; ou encore, il préconise l'utilisation d'un cloud sécurisé, sans dire comment le DoD compte sécuriser ses ressources dans le cloud, un défi auquel sont confrontés en permanence les responsables de la sécurité dans les entreprises. Ou bien, développer des architectures plus sûres et instaurer plus de modalités dans le fonctionnement, d'autres pistes pour lesquelles le document ne donne pas davantage de détails.
[[page]]
Le Pentagone dit aussi compter sur la Silicon Valley pour développer rapidement des technologies qui aideraient à renforcer la sécurité et changer la façon dont fonctionne l'Internet. « Le DoD va être à l'affût des progrès technologiques potentiellement importants, y compris ceux orientés vers de nouvelles architectures, afin de renforcer les capacités de défense et rendre les systèmes plus résistants à des actions malveillantes. Le DoD encourage la recherche de technologies révolutionnaires qui tentent de repenser les fondements du cyberespace, » explique encore le document du ministère de la Défense américain. « À cet effet, le DoD va engager des partenariats avec de grandes institutions scientifiques, pour développer un cyberespace plus sûr, mieux sécurisé, avec des capacités qui lui permettront de résister beaucoup mieux encore aux actions malveillantes. »
Cette stratégie pourrait être une aubaine pour les entreprises de haute technologie, en particulier celles capables de développer rapidement de nouvelles technologies. « Le ministère de la Défense va également offrir des opportunités à des petites et moyennes entreprises, et collaborera avec les entreprises de la Silicon Valley et d'autres pôles d'innovation technologique aux États-Unis, pour favoriser les recherches innovantes, les hisser au rang de programmes pilotes, jusqu'à leur adoption par le DoD, » dit encore le document. Ce travail se fera en collaboration avec les universités et d'autres institutions gouvernementales.
(...)(15/07/2011 12:05:51)Oracle va corriger 78 failles de sécurité
Oracle va publier 78 patchs sur un certain nombre de ses produits logiciels, mardi prochain. On dénombre 13 correctifs rien pour la base de données. Ils concernent plusieurs éditions, 11g R1 et R2, ainsi que 10g R1 et R2. Deux de ces vulnérabilités peuvent être utilisées sur un réseau sans identifiants de connexion.
Trois autres patchs concernent les solutions Secure Backup Oracle, dont les failles peuvent être déclenchées à distance sans authentification. Des correctifs sont aussi prévues pour sept modules de la gamme Fusion Middleware, 18 patchs concernent Enterprise Manager Grid.
Des corrections sur les produits issus des acquisitions
E-Business Suite et les logiciels de Supply Chain (gestion d'approvisionnement) disposent d'un correctif. Les solutions PeopleSoft en recensent une dizaine.
Oracle propose aussi 23 patchs pour les produits issus de l'acquisition de Sun Microsystems, comprenant GlassFish Server, VirtualBox, Solaris, Sparc Enterprise Série M et la ligne T3. Neuf des faiblesses peuvent être exploitées via un réseau sans nécessiter d'identifiant ou de mot de passe.
Le lot de patch disponible mardi prochain est à peu près de la même taille que la précédente mise à jour d'avril, qui comprenait 73 correctifs. Oracle propose des patchs pour Java SE à des dates différentes (le mois dernier pour les plus récents).
Anonymous pirate 90 000 comptes de militaires américains
L'annonce avait été faite sur Twitter et le nom de l'opération était « Military Meltdown Monday ». L'objectif a été atteint, car Anonymous a publié un torrent d'une taille de 190 Mo , qui comprend selon le média en ligne eWeek « des identifiants du personnel du CENTCOM, SOCOM, de la Marine, de l'Armée de l'Air, du Département de la sécurité intérieure, du Ministère des Affaires Etrangères et d'autres entrepreneurs du secteur privé en contrat avec le secteur de la défense. » Le groupe de pirates a rajouté qu'il était choqué par le manque de sécurité des serveurs attaqués. Il explique que sur un des serveurs, il n'y avait « pas de sécurité » et qu'il a pu prendre des données, supprimer 4 Go de code source et trouver des informations relatives à d'autres systèmes pour les attaquer.
Il s'agit de la deuxième attaque d'Anonymous sur des entreprises ayant des contrats avec le gouvernement américain. Le 8 juillet dernier, le groupe de hacker s'était attaqué à une autre société IRC Federal en lien avec les autorités militaires et de renseignements américains.
(...)| < Les 10 documents précédents | Les 10 documents suivants > |