Flux RSS

Inscrivez-vous

Selon une étude IDC France, 24% des entreprises pratiquent le télétravail

Les voitures, prochaines cibles des pirates informatiques

Des chercheurs de l'Université de San Diego, Californie, et de l'Université de Washington ont consacré les deux dernières années à examiner dans les moindres détails les milliers de composants électroniques des systèmes embarqués dans les véhicules récents. Objectif : chercher des failles de sécurité et étudier si elles peuvent être détournées à des fins malveillantes. Dans un nouvel article, ceux-ci affirment avoir identifié un certain nombre de méthodes qu'un pirate pourrait utiliser pour prendre le contrôle d'un véhicule, notamment certaines attaques impliquant la connectique Bluetooth et les systèmes de réseau cellulaire, ou alors en introduisant des logiciels malveillants par l'intermédiaire des appareils de diagnostic utilisés dans les ateliers de réparation automobile.

Un piratage qui passe par l'autoradio

Mais le système d'attaque le plus intéressant développé par les chercheurs a porté sur l'autoradio. En ajoutant du code supplémentaire à un fichier de musique numérique, ils ont réussi à muter une chanson gravée sur CD en cheval de Troie. Pendant la lecture du fichier sur le système stéréo de la voiture, le code pourrait modifier le firmware du système audio et ouvrir une porte d'entrée aux pirates, ce qui leur permettrait d'agir sur d'autres composants du véhicule. Selon eux, ce type d'attaque pourrait se propager sur les réseaux de partage de fichiers sans éveiller de soupçons. « Il est difficile d'imaginer quelque chose de plus inoffensif qu'une chanson, » a déclaré Stefan Savage, professeur à l'Université de San Diego. L'année dernière, le professeur américain et ses collègues chercheurs ont décrit comment fonctionnait le réseau de composants équipant les voitures actuelles. Ils ont également rapporté une expérience de piratage menée en 2009, au cours de laquelle ils ont réussi à endommager définitivement un moteur, verrouiller les portes, déverrouiller les freins et transmettre de fausses informations au compteur de vitesse d'un véhicule test. Pour réaliser cette expérience, ils ont relié un ordinateur portable au système de diagnostic interne du véhicule afin d'y introduire leur code malveillant.

Déverrouiller à distance un véhicule

Leur dernier challenge : trouver un moyen de contrôler la voiture à distance. « Notre article traite des difficultés rencontrées pour accéder aux commandes, » explique le professeur Savage. Au final, le document fait état de plusieurs méthodes pour y parvenir. « En fait, toutes les attaques - via Bluetooth, le réseau cellulaire, les fichiers de musique infectés par un code malveillant et les outils de diagnostic utilisés par les garagistes - ont pu être reproduites à distance, malgré une vraie difficulté à se connecter » indique Stephan Savage. « Mais la meilleure méthode reste celle que nous avons expérimenté en premier, c'est à dire en connectant un ordinateur à l'intérieur du véhicule, » a-t-il ajouté. La recherche met en évidence de nouveaux types d'attaques qui pourraient être utilisées dans le futur. Par exemple, les voleurs pourraient déverrouiller les portes des véhicules à distance et envoyer ses coordonnées GPS et son numéro d'identification à un serveur central. « Un voleur audacieux n'aurait plus besoin de voler les voitures lui-même, mais il pourrait vendre ses services à d'autres voleurs, » déclare Stephan Savage. « Un voleur à la recherche de certains types de voitures dans une zone géographique donnée pourrait demander qu'elles soient déverrouillées et identifiées, » ajoute-t-il. Le rapport des chercheurs ne mentionne pas la marque ni  le modèle du véhicule qu'ils ont réussi à pirater en 2009...

[[page]]

Des problèmes de sécurité à venir

Les universitaires ont présenté leurs travaux au Comité de l'Académie nationale des sciences chargé du Contrôle électronique et des accélérations non intentionnelles. Celui-ci a été créé l'an dernier pour étudier la sécurité des systèmes électroniques embarqués dans les véhicules, suite au rappel massif de voitures par Toyota et des rapports faisant état d'accélération involontaire dans des véhicules de la marque. Après coup, ce problème n'était pas lié aux systèmes électroniques, mais a été attribué aux tapis de sol, aux pédales d'accélérateur collantes et à des erreurs de conduite. Compte tenu de l'important obstacle technique à surmonter, les chercheurs pensent que les actes de piratage contre les voitures seront très difficiles à réaliser. Néanmoins, les chercheurs veulent que l'industrie automobile soit consciente des problèmes potentiels que cela pourrait poser. Selon Tadayoshi Kohno, professeur adjoint à l'Université de Washington qui a travaillé sur le projet, le piratage informatique des véhicules « est peu probable. » Néanmoins, celui-ci estime que les clients ordinaires voudront savoir si le véhicule qu'ils achètent tous les cinq ans... sera à l'abri de ces problèmes. »

Beaucoup d'effort pour attaquer un modèle

Les voleurs de voitures sont aussi face à une autre difficulté : les unités de contrôle électronique intégrées sont très différentes d'un véhicule à l'autre. Même si une attaque peut fonctionner sur type de véhicule d'une année donnée, il est peu probable que celle-ci soit utilisable pour un autre modèle. « Pour pirater un seul type de véhicule, il faudra investir beaucoup de temps, d'argent et de ressources, » a déclaré Brian Herron, vice-président de Drew Technologies, une société basée à Ann Arbor, Michigan, qui fabrique des outils pour les systèmes informatiques embarqués. « Ce n'est pas comme le piratage de Windows où il suffit d'exploiter une vulnérabilité mise en évidence. » Selon Stephan Savage et Tadayoshi Kohno, les constructeurs automobiles ont pris leurs travaux et les questions de sécurité qu'ils soulèvent, très au sérieux.

Crédit photo : Autosec.org

Apple capte près de trois quart des applications téléchargées

7,9 milliards d'applications ont été téléchargées l'an passé dont 5,6 milliards pour les iPhones, iPod Touch et iPad, soit 71% des applications mondiales téléchargées en 2010. D'après ABI Research, 2011 s'annonce plus concurrentielle avec la montée en puissance de l'Android Market. 1,9 milliard d'applications issues de la plateforme ont été téléchargées en 2010. Le magasin de Google dispose à l'heure actuelle de plus de 130 000 applications disponibles dans 48 pays, deux fois moins que l'App Store d'Apple.

Les possesseurs de Blackberry ont téléchargé plus d'1 milliard d'applications.

Safari et IE, 1eres victimes du concours de piratage Pwn2Own, Chrome snobé

Safari d'Apple et Internet Explorer 8 (IE) de Microsoft ont était les premières victimes du concours Pwn2Own, qui a démarré lors de la conférence sur la sécurité CanSecWest, à Vancouver. Chaque année, cette compétition met au défi et récompense des spécialistes du piratage de se confronter aux navigateurs Internet des différents éditeurs.

Une équipe de la société française de sécurité Vupen a ainsi gagné 15 000 dollars et un MacBook Air après avoir exploité une vulnérabilité non corrigée de Safari. La mise à jour réparant 62 vulnérabilités sur la version 5.0.4 de Safari et publiée juste avant l'ouverture du concours, n'aura pas servi à grand-chose car Vupen a réussi malgré tout à pirater le navigateur.

En ce qui concerne IE, il s'agit d'un chercheur indépendant, Stephen Fewer qui a utilisé 3 failles de sécurité pour percer IE 8 sur Windows 7. Aaron Portnoy, responsable de l'équipe sécurité d'HP Tipping Point et organisateur du Pwn2Own a été impressionné par le travail de Stephen Fewer. « Il a utilisé trois failles seulement pour contourner ASLR et DEP, mais aussi échapper au mode protégé. C'est quelque chose que nous n'avions pas vu au Pwn2Own auparavant. » L'ASLR (address space layout randomization), méthode aléatoire d'adressage et le DEP (Data Execution Prevention) doivent réduire les risques de vulnérabilités et de leur exploitation. Le mode protégé d'IE est la « sandbox », qui isole le navigateur.

Chrome ne fait pas recette, les OS mobiles si

A priori, le navigateur Chrome intéresse moins les experts en sécurité que les OS mobiles comme Blackberry OS, Android, iOS et Windows Phone 7. En effet, malgré les 20 000 dollars de récompenses, peu d'équipes ont décidé de se porter candidat pour pirater le navigateur de Google. Seules deux équipes s'étaient pré-enregistrées pour le concours sur Chrome Moatz Khader et un ou plusieurs chercheurs connus sous le nom « Team Anon » (les candidats peuvent rester anonymes s'ils le souhaitent).

En l'absence de combattants, Google Chrome pourrait être déclaré invincible pour la troisième fois consécutive depuis l'existence du concours Pwn2Own.

Une quasi moitié des ventes de mobiles sont des smartphones

25,6 millions de smartphones ont trouvé preneurs en Europe de l'Ouest au dernier trimestre 2010, d'après la dernière étude du cabinet d'analyse IDC. Ce segment de marché, combinant fonction téléphonique et services web et multimédia, représentent désormais 44% des ventes totales de téléphones mobiles.

Au dernier trimestre 2010, les ventes de smartphones ont grimpé de 99,4% par rapport au dernier trimestre de l'année précédente. Les appareils dotés d'Android ont dominé avec une part de marché de 31%, soit 7,9 millions de terminaux écoulés. La croissance annuelle des mobiles embarquant le système d'exploitation de Google atteint 1 580%. Les ventes de smartphones Windows Phone 7 ont doublé entre le dernier trimestre 2010 et les trois mois précédents. Les ventes d'iPhone d'Apple ont progressé, elles, de 66%.

Au total, 58,7 millions de téléphones portables ont été vendus en Europe de l'Ouest d'octobre à décembre 2010 (+3,2%).

SAS pousse la BI vers l'iPad et l'iPhone

Cet accord entre SAS et Mellmo va renforcer un peu plus la position des appareils mobiles d'Apple et en faire une cible privilégiée pour les fournisseurs de logiciels d'entreprise, en particulier ceux qui vendent des solutions BI. Ce partenariat avec Mellmo n'est pas le premier du genre, puisque l'éditeur a déjà passé des accords avec IBM, SAP, Salesforce.com, Microsoft et Oracle. L'intégration de la solution de SAS, qui s'appuie sur Enterprise BI Server, devrait être prête dès le début du mois prochain.

Ce n'est que tardivement que les fournisseurs de BI ont commencé à porter leurs logiciels sur mobile, et à vanter les avantages qu'auraient les employés nomades à pouvoir accéder à des données analytiques et à des rapports d'entreprise en temps réel. SAP se prépare à une course particulièrement agressive sur ce marché, notamment dès qu'elle aura mis en route, courant de cette année, une plate-forme mobile basée sur la technologie acquise avec l'achat de Sybase. Mais jusqu'à présent, l'adoption de la BI mobile est restée timide en raison de différents problèmes, certains liés à la sécurité et d'autres au facteur de forme des appareils mobiles qui ne permet pas une bonne utilisation de ces applications, comme l'indique un rapport de Forrester Research sur le sujet. « Les vraies applications de BI ont besoin d'un certain espace pour afficher, interagir et effectuer l'analyse de toutes les informations pertinentes. Il faut pouvoir faire la même chose sur un écran unique et de petite taille, » fait remarquer le rapport. Les applications mobiles d'informatique décisionnelle doivent permettre aux utilisateurs de travailler avec des données « utilisant des applications d'analyse classiques comme le « drill-across » pour les opérations ensemblistes, la hiérarchie « drill-down/drill-up » qui fait référence « à la synthèse des informations en fonction d'une dimension », et le « drill-through » « pour accéder au détail élémentaire des informations quand on ne dispose que de données agrégées », mais aussi pour filtrer, grouper, transformer, évaluer, et trier, » ajoute encore le rapport.

Selon Forrester Research, les appareils mobiles comme l'iPad d'Apple permettent de résoudre la question de l'ergonomie. « Avec cette nouvelle génération de BI mobile, adaptée à la future génération d'appareils mobiles, on va enfin pouvoir tenir la promesse d'accéder à l'information à tout moment, partout, et sur n'importe quel appareil. » Il y a aussi une multiplication croissante des possibilités d'utilisation de la BI mobile, ajoute le rapport. Par exemple, le logiciel pourrait aider un vendeur à conclure un marché en présentant des analyses à même d'emporter l'adhésion d'un client potentiel. Pourtant, les défis persistent pour la BI mobile, en particulier en matière d'offre d'expériences riches pour la variété d'appareils mobiles disponibles. « Les clients doivent évaluer attentivement la qualité des outils proposés par un fournisseur, notamment les capacités « write once, use anywhere » (écrire une fois, exécuter partout), » dit le rapport de Forrester.

Illustration principale : Solution Roambi de Mellmo, crédit D.R.

Annuels Iliad : Résultats solides pour les futures ambitions

2010 a été une année de consolidation des résultats avant les échéances de certaines ambitions. Ainsi le chiffre d'affaires ressort à plus de 2 milliards d'euros en hausse de 4,3% par rapport à 2009. L'EBITDA est en forte progression +20,7% à 798,1 millions d'euros. Le résultat net croit de 78% à 313,1 millions d'euros.

Au 31 décembre 2010, le nombre d'abonnés au fournisseur d'accès à Internet, Free, atteint 3,969 millions, soit 191 000 de plus que l'an passé. Le groupe Iliad, qui possède Free, annonce dans son rapport annuel un total d'abonnés (ceux du FAI Alice compris) de plus de 4,53 millions. En ce qui concerne la fibre optique, Iliad espère atteindre les 100 000 abonnés d'ici la fin de l'année, et une couverture de 4 millions de foyers d'ici la fin 2012.

Sur la partie mobile, le groupe rappelle son accord noué avec Orange sur l'itinérance 2G/3G. Free Mobile devrait lancer son offre commerciale au début de l'année 2012. A cette date-là, Iliad prévoit de couvrir 27% de la population française avec son propre réseau.

Fort de ces ambitions, Iliad anticipe un doublement de son chiffre d'affaires d'ici 2015 et une trésorerie issue de l'ADSL de plus de 1,1 milliards d'euros entre 2010 et 2012.

BlackBerry Protect Bêta propose un MobileMe gratuit

RIM est un peu en retard sur son agenda de développement. Elle avait en effet annoncé cette version bêta en juillet dernier, qui devait être généralisée à la fin 2010. Les possesseurs de BlackBerry qui ne se connectent pas via un BlackBerry Entreprise Server peuvent utiliser cette solution. S'ils perdent leur téléphone, ils peuvent localiser leur terminal sur  le portail BlackBerry Protect. Il peut alors le verrouiller à distance et afficher un message sur l'écran d'accueil pour indiquer des coordonnées pour le renvoyer ou le rapporter. La sauvegarde à distance des données sur le téléphone est aussi disponible ainsi qu'effacer ces informations stockées dans l'appareil et sur la carte MicroSD. Si le smartphone est très probablement égaré dans un environnement proche, l'utilisateur peut activer à distance une sonnerie forte, même quand le téléphone est en mode silencieux. Les clients intéressés par ce service peuvent installer l'application depuis le BlackBerry App World Center Test. Elle est gratuite.

Incompatibilité avec BES

Suite à un article de blog annonçant l'open beta, quelques personnes ont écrit sur leurs déception de ne pas rendre ce service accessible pour ceux qui se connectent via le serveur BlackBerry Enterprise (BES). Utilisé par les entreprises, le BES permet aux administrateurs d'appliquer des politiques de sécurité et de performance, y compris des fonctions d'effacement à distance. RIM n'a pas répondu sur ce sujet.

Par ailleurs, cette solution est pour l'instant disponible aux Etats-Unis et en Amérique Latine. Elle devrait arriver très prochainement en Europe et pourquoi pas en langue Française. Cette solution s'apparente au service MobileMe proposé par Apple, mais celui-ci est payant. Un autre moyen de jouer la carte de la différence.
(...)