Flux RSS
Intrusion / hacking / pare-feu
718 documents trouvés, affichage des résultats 451 à 460.
| < Les 10 documents précédents | Les 10 documents suivants > |
(14/01/2010 18:31:19)
Adobe sort son correctif trimestriel avec 8 patchs de sécurité
Adobe a livré huit patchs de vulnérabilités, dont six critiques, pour corriger des problèmes de sécurité sur Acrobat et Acrobat Reader. Les experts en sécurité de l'éditeur, qui qualifie pour la première fois cette mise à jour de « particulièrement importante », recommandent vivement aux utilisateurs et aux administrateurs techniques des entreprises de ne pas attendre les correctifs de Microsoft pour l'appliquer et contrer une faille d'Acrobat déjà exploitées par les pirates. Le bug, qui avait été rendu public mi-décembre, et utilisé par des hackers depuis novembre, n'avait pas encore été corrigé. Le mois dernier, Adobe avait indiqué qu'il ne livrerait pas de correctif d'urgence avant le 12 janvier, pour ne pas perturber son calendrier de mises à jour trimestrielles. En attendant, les pirates ont continué à lancer des attaques ciblées contre des individus et des entreprises spécifiques, parfois de grande envergure, touchant des milliers d'utilisateurs. Adobe a signalé six des huit portes de vulnérabilité par des phrases telles que "pourrait permettre l'exécution de code arbitraire" ou "pourrait conduire à l'exécution de code, » notifiant à l'utilisateur les tentatives faites pour s'introduire dans leur système. Si Adobe, comme Apple, ne donne pas d'explication sur les éléments qu'il corrige, trois des patch critiques amendent des bugs liés à l'analyse et la compatibilité des fichiers U3D (Universal 3D) dans Reader et Acrobat, et un bug lié au gestionnaire de téléchargement d'Adobe livré avec Acrobat Reader. Un cinquième patch corrige un problème de corruption de mémoire. La mise à jour a également corrigé des défauts moins graves qui pourraient être utilisés pour faire 'planter' Reader ou Acrobat, ou être utilisés par un pirate pour modifier les paramètres de sécurité du logiciel. Les mises à jour font passer les versions de Reader et d'Adobe Acrobat en 9.3 et 8.2 respectivement. Les correctifs du Reader sont disponibles pour Windows, Mac et Linux et ceux d'Acrobat uniquement pour Windows et Mac. Concernant Acrobat et Acrobat Reader 7, Adobe indique que le support de mise à jour de ces versions est arrivé à terme il y a un mois. Adobe a du mal à suivre le rythme des attaques de pirates, qui s'en sont pris au format PDF à large échelle l'an dernier et il semble qu'ils vont continuer en 2010. L'an dernier, Adobe avait livré quatre patchs de sécurité juste après la découverte de failles. Et 2010 commence déjà avec un « zero-day patch » au calendrier d'Adobe. Pour aider les consommateurs à rester à jour - et leur donner une meilleure chance de faire face aux attaques - Adobe a lancé hier un bêta test de son updater automatique. Si les tests sont concluant, Adobe mettra son système à la disposition de tous à partir du 13 avril, date de la prochaine mise à jour de sécurité de Reader et Acrobat. Adobe Reader pour Windows, Mac et Linux peut être téléchargé à partir du site Web d'Adobe. Les versions Windows et Mac d'Acrobat peuvent être téléchargées en utilisant le lien inclus dans le communiqué fait mardi. Les utilisateurs ont aussi la possibilité d'activer « rechercher les mises à jour » dans le menu des programmes d'Adobe. (...)
(27/10/2009 15:15:05)Selon une étude Morse, les réseaux sociaux nuiraient à la productivité en entreprise
Facebook et Twitter néfastes pour les entreprises ? On s'en doutait à titre personnel, des études le prouvent maintenant. Une étude anglaise réalisée par le cabinet d'analyse Morse sur plus de 1 460 employés révèle que 57% d'entre eux utilisent les réseaux sociaux pour des motifs personnels pendant leur temps de travail. Elle estime qu'ils passent en moyenne 40 min/jour sur les différents sites de réseautage. Ces distractions coutent une semaine de travail par employé et par an, soit 1,5 milliard d'euros pour la Grande-Bretagne. « La popularité des réseaux comme Twitter ou Facebook a considérablement grandi ces deux dernières années et ce phénomène s'accompagne de la tentation de visiter ces sites pendant les heures de bureau » indique Philip Wicks, un consultant de Morse. « L'arrivée de ces sites dans l'environnement professionnel est une gangrène pour la productivité ». Les dirigeants ne doivent pas faire l'autruche face à ces comportements déplacés, ils doivent plutôt mettre en place et renforcer leur charte d'usages. Une menace pour la sécurité ? En outre, un tiers des employés anglais disent qu'ils ont vu des informations sensibles sur leurs entreprises publiées sur des réseaux sociaux alors que 76% révèlent que leur patron n'a pas instauré de charte d'usages pour Twitter. Plus de quatre sur cinq ont également déclaré qu'ils étaient inquiets de cliquer sur un lien menant à site malveillant en suivant les liens postés sur les sites de réseautage. Morse explique que sans la mise en place de règles claires, les dirigeants acceptent une réduction de la productivité, ainsi que des risques de sécurité ou de dégradation de la marque. Le cabinet Morse a été commissionné par l'institut de sondage TNS Group pour conduire cette étude. D'autres études arrivent aux mêmes conclusions. En juillet, le cabinet d'analyse Nucleus (basée à Boston) avait publié une étude expliquant que les entreprises qui ne verrouillaient pas l'accès à Facebook perdaient moyenne 1,5% de leur productivité globale. De plus, 77% des employés qui possédaient un compte personnel sur Facebook l'utilisait pendant les heures de travail. Limiter ou interdire les réseaux sociaux ? « Après des années à alerter employés sur les dangers provenant des clics sur des emails ou sites web inconnus, ces derniers peuvent involontairement baisser leur garde en cliquant sur des liens de Twitter ou d'autres réseaux sociaux » ajoute Philip Wicks. « Il est primordial que les entreprises fassent de leur mieux pour se protéger en rappelant les dangers. Toutefois, les réseaux sociaux peuvent faciliter les rapports entre employés et clients, s'ils sont bien intégrés. C'est pourquoi les entreprises doivent trouver le juste équilibre en matière d'usage chez les employés entre l'engagement et la productivité». Certains sont toutefois plus radicaux. Début octobre, une étude commanditée par Robert Half Technology (spécialisée dans le recrutement informatique) montrait que les entreprises commençaient à se préoccuper des réseaux sociaux dans leurs bureaux. L'étude signalait que 54% des sociétés américaines ont purement et simplement interdit l'usage de sites comme Twitter, Facebook, LinkedIn et MySpace au travail. Avant d'en arriver là, il est peut-être préférable de faire preuve de pédagogie et de réfléchir à l'apport des réseaux sociaux (des intranets plus conviviaux en fait) pour améliorer la communication interne de l'entreprise. (...)
(08/09/2009 12:00:53)Des attaques utilisent déjà la faille IIS de la fin août
Tout juste repérée le 31 août dernier, la vulnérabilité affectant certains serveurs Internet Information Services (IIS) de Microsoft est déjà exploitée par les cybercriminels. Dans un premier temps, ces derniers ont pu accéder aux serveurs IIS 5.0 sous Windows 2000 directement en utilisant le protocole FTP pour lancer des attaques en déni de services. Mais depuis, les serveurs IIS 5.0, 5.1, 6.0 et 7.0 sur Windows XP, Vista, Windows Server 2003 ou Windows Server 2008 Service Pack 2 ont aussi été visés. Dans ce cas, le service FTP devait être activé sur le serveur. Mais FTP Service 7.5, la version la plus récente, n'est pas concernée. Microsoft a constaté quelques attaques depuis la révélation de cette faille, mais il ne considère pas que la situation soit suffisamment critique pour livrer une rustine d'urgence, ou l'ajouter à la prochaine mise à jour de sécurité du 8 septembre. D'ailleurs, l'éditeur n'a pas encore communiqué de date pour la mise à disponibilité d'un tel patch. En attendant, la société fournit quelques conseils pour éviter une telle attaque : passer si possible à la nouvelle version de FTP Service (disponible uniquement pour Vista et Windows Server 2008), ne pas autoriser les utilisateurs anonymes à accéder au serveur FTP ou plus radicalement désactiver ce service. (...)
(27/07/2009 16:17:17)La Cnil émet des réserves sur le projet de loi Loppsi II
Le projet de loi Loppsi II n'inquiète pas seulement les tenants des libertés individuelles, il pousse également la Cnil à faire part de ses réserves. La loi d'orientation et de programmation pour la performance de la sécurité intérieure devrait être débattue au Parlement à la fin de l'automne et prévoit de compléter le code pénal afin de mieux encadrer la lutte contre la criminalité. Parmi les mesures envisagées pour endiguer la diffusion des contenus pédopornographiques sur le Web et, plus généralement, la cybercriminalité, Loppsi II mise sur le recours à des logiciels espions. Il s'agit, de fait, de mouchards « ayant pour objet, sans le consentement des intéressés, d'accéder à des données informatiques, de les observer, les collecter, les enregistrer, les conserver et les transmettre, telles qu'elles s'affichent pour l'utilisateur d'un système de traitement automatisé de données ou telles qu'il les y introduit par saisie de caractères ». Traduite par la Cnil, cette mesure instaure un dispositif visant « à capter en continu des données informatiques utilisées ou saisies sur un ordinateur, que ces données soient ou non destinées à être émises, et qu'elles empruntent ou non un réseau de communications électroniques ». L'autorité administrative indépendante s'inquiète du caractère dérogatoire à la loi de 1978 sur le traitement des données qui entoure ce projet de logiciels espions, évoque une « importante exception », et rappelle qu'en Allemagne leur utilisation n'est autorisée que dans des cas strictement définis et exceptionnels. Des mouchards des PC personnels jusqu'aux cybercafés Le projet examiné par la Cnil semble être d'application plus large et permet aux forces de l'ordre de, notamment, « collecter des données transitant sur des systèmes utilisés par des personnes protégées par le législateur en raison de secrets particuliers liés à l'exercice de leur profession ». La Commission informatique et libertés exhorte donc le gouvernement à revoir sa copie « de façon à ce que les objectifs poursuivis par le dispositif soient mieux définis ». En d'autres termes, qu'il ne soit pas permis de faire n'importe quoi (surveiller les communications des médecins, avocats, journalistes, etc.) sous couvert de lutte contre la criminalité. De même, la Cnil fait part de sa plus grande réserve à propos de la disposition du projet Loppsi permettant, selon l'autorité indépendante, « l'enregistrement pendant une durée d'au plus huit mois de tous les caractères saisis au clavier et de toutes les images affichées sur l'écran de tous les ordinateurs d'un point d'accès public à Internet, et ce à l'insu des utilisateurs ». Cette mesure autoriserait les services de police et de gendarmerie à fliquer les machines installées dans les cybercafés et tous les ordinateurs offrant un accès public au Web. Si ce mécanisme d'investigation a pu prouver son efficacité - l'arrestation de Youssouf Fofana en est un récent exemple - sa mise en place doit rester exceptionnelle tant les abus susceptibles d'en découler sont graves. Cela conduit la Cnil à souligner la nécessité « d'une vigilance particulière, afin de garantir la proportionnalité de la mesure de surveillance aux objectifs poursuivis ». A demi-mot, la Commission rappelle que le risque de censure par le Conseil constitutionnel est proche. (...)
(16/07/2009 14:49:16)Twitter à nouveau piraté, les informations dérobées exposées sur le Web
Décidément, Twitter n'en finit plus d'attirer les pirates. Cette fois, ce ne sont pas les comptes de ses utilisateurs qui ont été victimes d'une attaque, mais certains documents confidentiels qui se sont retrouvés à la vue de tous sur le Web. À l'origine de cet exploit, un pirate, Hacker Croll, a trouvé le mot de passe d'un employé administratif de Twitter. Il a alors pu accéder à l'ensemble des données conservées par le réseau de micro-blogging sur Google Apps, y compris des renseignements hautement sensibles comme les informations relatives aux noms de domaines appartenant à Twitter, des numéros de cartes bancaires, des contrats ou les contacts de personnalités. Plutôt que de conserver toutes ces données à l'intérieur de ses propres systèmes informatiques, Twitter s'est laissé séduire par le cloud computing, mais a négligé la sécurité. Ses employés, dont Evan Williams, le directeur exécutif, ont allègrement mélangé outils privés et outils professionnels, permettant ainsi à Hacker Croll de profiter d'une brèche dans l'un des secteurs pour accéder aux informations de l'autre. Bien qu'il n'ait rendu son exploit public que depuis quelques jours, le pirate a réalisé son coup d'éclat en mai dernier. Depuis, tous les employées de Twitter ont dû changer leurs mots de passe de sécurité. Et Biz Stone, le PDG, va une nouvelle fois renforcer la sécurité informatique de sa société. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |