Flux RSS
Intrusion / hacking / pare-feu
718 documents trouvés, affichage des résultats 521 à 530.
| < Les 10 documents précédents | Les 10 documents suivants > |
(10/07/2008 09:12:27)
Les grands des TIC s'allient face à une faille des DNS
Découverte par Dan Kaminsky il y a un an, une faille au coeur même du protocole DNS (Domain Name System) permettrait de rediriger la navigation et les courriers électroniques en direction d'un domaine vers un autre, sous le contrôle d'un pirate. Cette faille vient seulement d'être révélée. Plusieurs acteurs des TIC habituellement concurrents (Microsoft, Cisco, Red Hat, Sun Microsystems, et Internet Software Consortium), fournisseurs principaux de serveurs DNS, se sont alliés pour sortir un correctif contre cette vulnérabilité. Chez Microsoft, cette correction fait partie des neuf rustines publiées avec le « Patch Tuesday » de juillet. Pour autant, pour Rich Mogull, directeur de Securosis, une SSII spécialisée dans la sécurité, si la faille découverte par Dan Kaminsky permet très simplement de détourner à son profit le trafic Web, elle n'est pour l'instant pas très dangereuse. « Ceux qui sont au courant font partie des 'gentils'. Votre risque n'est pas plus grand aujourd'hui qu'il ne l'était hier. » Ceci pourrait pourtant bien changer : Dan Kaminsky a en effet l'intention de révéler plus de détails techniques sur cette faille lors de la prochaine Black Hat Conference, qui aura lieu du 2 au 7 août prochains à Las Vegas. En attendant, il recommande aux administrateurs réseaux de patcher leurs systèmes ou, à défaut, d'utiliser des technologies Open Source comme Open DNS (non concernées par cette faille). Et pour les particuliers qui veulent savoir s'ils sont protégés ou non, son blog propose un 'widget' capable d'éprouver la sécurité d'un réseau d'entreprise ou d'un fournisseur d'accès. (...)
(25/06/2008 16:48:39)Les sites développés avec Ruby à la merci de cinq failles majeures
Alerte pour tous les sites web développés avec Ruby. Les versions 1.8 et 1.9 de ce langage de développement génèrent cinq failles d'envergure qui exposent les sites à l'exécution intempestive de code malicieux et à des dénis de service. Selon les spécialistes de la sécurité de la société Matasano, elles seraient d'une facilité déconcertante à exploiter. Autrement dit réellement dangereuses. Plus inquiétant encore, Matasano constate que l'application des rustines n'est pas automatique. Elle requiert un peu de discernement. A tel point que, malgré la gravité des failles, la firme conseille d'attendre quelques jours avant de se lancer dans une mise à jour. On doit la découverte de ces failles à Drew Yao, membre de l'Apple Product Security. Selon les sources, Ruby serait à l'origine de moins de 5 à 10% des sites web. Un écart qu'expliquent ses promoteurs par sa rapide montée en puissance. Les failles de sécurité des sites sont une engeance. Selon le projet Common Vulnerabilities and Exposures (CVE), elles arrivent en tête des menaces. En 2006, un autre langage de développement de site, le PHP, avait été impliqué dans 43% des failles découvertes pendant cette année. Né en 1995, Ruby est un langage open source d'origine japonaise qui fait le succès de la suite de développement Ruby on Rails. (...)
(18/06/2008 12:14:34)La lutte contre la guerre informatique déclarée priorité du gouvernement
« La guerre informatique est devenue une réalité » a mentionné le Chef de l'Etat hier, lors de la présentation du nouveau Livre blanc sur la Défense. Celui-ci redéfinit la stratégie nationale en termes de sécurité pour les quinze prochaines années. Le document de référence inclut une dizaine de volets, dont la sécurité informatique. Il prévoit une hausse du niveau technologique des trois armes du pays et une meilleure protection des systèmes informatiques. Les attaques informatiques sont ainsi considérées par Nicolas Sarkozy comme critiques, au même titre que les menaces terroristes, nucléaires et biologiques. Les cyberattaques identifiées dans le Livre blanc peuvent provenir de divers types d'acteurs (hackers, groupes terroristes, Etats...), utiliser diverses armes (virus, 'chevaux de Troie', blocages malveillants...) et viser plusieurs objectifs (terrorisme, espionnage militaire ou économique...). Le document pointe l'importance de la défense cybernétique, de la guerre de l'information dans un univers d'informatique quantique et le développement des nouveaux systèmes de renseignements satellitaires. Création d'une agence de la sécurité des systèmes d'information [[page]] Pour faire face aux menaces visant les systèmes informatiques vulnérables, le gouvernement décide de créer une agence de la sécurité des systèmes d'information. Elle sera constituée à partir de l'actuelle direction centrale de la sécurité des systèmes d'information créée en 2001. Son rôle consistera à « détecter et réagir au plus tôt, en cas d'attaque informatique ». Cette officine aura aussi vocation à développer « une offre industrielle de produits de très haute sécurité pour la protection des secrets de l'Etat ». Des produits cryptographiques seront notamment mis à la disposition des administrations concernées. L'état-major des armées et les services spécialisés devront piloter toutes ces « capacités » de lutte informatique (surveillance et détection des attaques entre autres). Cette nouvelle stratégie qualifiée d'offensive et défensive consistera à « riposter » en cas d'attaque, ne serait-ce que pour « neutraliser » les systèmes d'information et de commandement des adversaires. Enfin, cette agence devra informer le grand public par le biais du portail gouvernemental securite-informatique.gouv.fr. (...)
(02/06/2008 17:31:10)Des étudiants mettent à mal la sécurité de CardSpace
Cardspace, voulu par Microsoft comme un coffre-fort de l'identité personnelle, ne serait pas inviolable. Distribué avec Windows Vista et les derniers service packs de XP, CardSpace conserve les informations d'identité de l'utilisateur (comme ses coordonnées bancaires) sur son ordinateur ou chez un tiers et les transmet de façon sécurisée aux sites Web authentifiés (comme une boutique en ligne). Deux étudiants et un professeur de l'université de la Ruhr ont affirmé avoir trouver le moyen de voler ces informations confidentielles. Il s'agit de modifier le DNS (système de noms de domaines) du PC contenant les informations voulues, puis de le rediriger sur un site Web qui, lui, s'emparera des identifiants voulus. Pour les chercheurs allemands, cette attaque n'est qu'un exemple de faisabilité (proof of concept) pour l'instant, mais « il est raisonnable d'envisager des attaques réelles prochaines sur CardSpace ». [[page]] Kim Cameron, architecte identité chez Microsoft et principal développeur de CardSpace, n'est pas du même avis. Sur son blog, il explique en effet que pour fonctionner, l'attaque doit d'une façon ou d'une autre convaincre l'utilisateur de passer outre certains avertissements de Microsoft comme ceux déconseillant la navigation sur tel ou tel site, et donc de lever lui-même ses barrières de sécurité. « Pour moi, conclut-il, la sécurité de Cardspace n'a pas été compromise. » Néanmoins, le scénario décrit par les étudiants en sécurité est tout à fait faisable, puisque ce type d'ingénierie sociale est déjà utilisé depuis de nombreuses années par les spammeurs et autres adeptes du phishing. En outre, nombre de gens, agacés par les alertes incessantes de Vista, passent outre sans lire le contenu des avertissements. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |