Flux RSS

Inscrivez-vous

Apple désactive en catimini la détection d'iPhone jailbreakés

Les outils de jailbreak constituent une sérieuse menace pour la sécurité des entreprises qui utilisent des smartphones (iPhone ou autres). En effet même si l'utilisateur final n'a pas l'intention de télécharger des programmes douteux, il reste complètement ignorant des logiciels malveillants dissimulés dans les applications non autorisées.

L'API désactivée par Apple faisait partie d'un ensemble d'API baptisé MMD (Mobile Management Device) destiné à faciliter la gestion des flottes d'iPhone dans les entreprises. Ces API étaient par exemple utilisées par des applications tierces comme AirWatch ou Afaria de Sybase, pour accéder directement aux fonctions et aux informations d'iOS ou du terminal mobile.

Mais avec l'arrivée d'iOS 4.2 fin novembre, l'API chargée de détecter les terminaux jailbreakés a été désactivée ou supprimée. Cet outil permettait aux applications MMD de vérifier si le système d'exploitation avait été compromis. Pour débrider les terminaux mobiles, les développeurs exploitent certaines failles pour modifier certains composants de bas niveau de l'OS afin d'autoriser le transfert de leurs propres applications ou celles de fournisseurs tiers. En octobre 2010, deux jailbreaks différents avaient exploité des vulnérabilités découvertes dans la Rom de démarrage d'IOS. Depuis trois ans, Apple lutte contre ce phénomène et avertit que le jailbreaking annule la garantie de l'appareil et risque endommager le smartphone.

Des tests de sécurité propres aux éditeurs

Auparavant, certains vendeurs de MMD avaient créé leurs propres tests détecter les jailbreaks,  à l'image de ceux menés par les logiciels antivirus pour découvrir si un PC était infecté par un trojan. La fourniture de cette fameuse API par Apple leur donnait un accès direct aux informations sur le système d'exploitation. En théorie, le terminal iOS "avouait" s'il avait été jailbreaké, déclenchant ainsi des réponses automatiques telles qu'alerter le support technique ou interdire l'accès au serveur Exchange de l'entreprise.

« Nous l'avons utilisée quand elle était disponible, mais comme un complément », explique Joe Owen, vice-président en charge de l'ingénierie chez l'éditeur Sybase, qui propose l'outil de gestion et de sécurité pour mobiles. « Je ne sais pas ce qui a motivé cette suppression... » Dans la pratique, l'idée d'Apple d'utiliser une requête basée sur une API s'est avérée être beaucoup plus compliquée qu'il n'y paraît. «C'est un concept intéressant -
demander à l'OS de vous dire s'il a été compromis», poursuit Joe Owen. « Une attaque astucieuse pourrait toutefois commencer par changer cette partie précise de l'OS. Les jailbreaks dissimulent de mieux en mieux le fait que quelque chose a été compromis. » Lorsque cela se produit, l'API est trompée ou simplement incapable de détecter le jailbreak.

[[page]]

« [il] est peut être possible de détecter le jailbreak d'une version spécifique, mais ils [les éditeurs] seront toujours pris au piège, au jeu du chat et de la souris, s'ils veulent jouer avec les jailbreakers » explique Jeremy Allen, consultant en sécurité au sein d'Intrepidus Group. « Quels que soient les ajouts [dans l'OS] pour détecter les jailbreaks, s'il est nécessaire d'interroger le noyau pour être renseigné ce dernier doit rester accessible et peut toujours être modifié. Quelle que soit la manière d'appréhender le problème, si une méthode de détection est utilisée, une fois connue, elle peut être contournée. C'est un problème insoluble qu'on ne peut pas résoudre à 100%. »

Installer toutes les applications sans les payées

Pour un groupe d'utilisateurs doués en informatique, le jailbreaking est un exercice intéressant, sans même parler des questions de liberté individuelle, qui leur permet d'installer toutes les applications qu'ils souhaitent. Mais pour les entreprises, les terminaux mobiles iOS jailbreakés constituent véritablement une grave menace pour la sécurité.

« Quand un dispositif [mobile] est  jailbreaké, l'objectif premier est de contourner ou de désactiver les composants du système d'exploitation et de la plate-forme qui maintiennent les applications dans un sas pour prévenir les défaillances et limiter les privilèges », écrit Jeremy Allen sur son blog consacré à la sécurité des plates-formes mobiles. « Avec ces terminaux, il pourrait être difficile, voire impossible, d'appliquer une politique de sécurité tant que les utilisateurs peuvent facilement contourner les mesures internes sans que les outils de gestion s'en rendent compte. »

Les fournisseurs de solution MMD tels que Good Technology, MobileIron et Sybase prétendent tous être en mesure de détecter les terminaux iOS jailbreakés sans l'API d'Apple. En règle générale, leurs agents sur l'appareil dialoguent avec les serveurs pour exécuter une série de tests ou tenter de faire des opérations strictement interdites par Apple, comme accéder à certaines fonctions bas niveau de l'OS. Si l'application peut exécuter ces tâches, elle comprend immédiatement que l'appareil est déplombé, et peut ensuite bloquer ou restreindre l'accès au réseau de l'entreprise.

Des utilisateurs inconditionnels du jailbreaking

Ces techniques ne sont toutefois pas infaillibles, prévient Jeremy Allen. « Ces méthodes ne peuvent pas être invoquées sans un degré élevé de confiance. Elles pourraient suffire dans de nombreux jailbreaks, mais pas tous », précise-t-il. « Je les vois comme des outils utiles, mais pas une solution globale. » Jeremy Allen encourage fortement les entreprises à utiliser une approche multicouche et surtout à être réaliste sur les risques encourus. «Je stresse toujours les utilisateurs [quant à l'importance] des risques avec le jailbreak. Je pense que les organisations doivent expliquer, dans un document interne la politique officielle, que le jailbreaking des terminaux n'est pas autorisé. Beaucoup d'utilisateurs ne sont tout simplement pas au courant des risques associés à l'exploitation d'un appareil jailbreaké. »

Compte tenu de l'ingéniosité  des pirates aujourd'hui, les entreprises doivent reconsidérer leurs mesures internes en conséquence, met en garde Jeremy Allen. « En ce qui concernent les utilisateurs qui sont des inconditionnels du jailbreaking, et qui connaissent les risques encourus et les mécanismes de  détection utilisés, il n'y a pas de solutions pour les repérer », conclut-il.

Les prévisions du cloud pour 2011 (1ère partie)

L'année prochaine sera marquée par une importante accélération dans la mise en oeuvre des solutions clouds.  2011 verra donc l'arrivée à maturité d'un certain nombre de tendances et d'initiatives.

Prévision  1 : Les affaires des fournisseurs de services cloud vont exploser ... et puis imploser.

Ces prestataires vont continuer à investir dans la construction d'offres de cloud computing. Les grandes entreprises du secteur dépenseront des milliards de dollars pour construire des datacenters, acquérir des équipements, intégrer des plates-formes logicielles, ainsi que commercialiser des services de cloud computing. Les acteurs régionaux et locaux suivront cette tendance, mais sur une plus petite échelle.

Cette frénésie d'activité va concurrencer les entreprises d'hébergement ou celles qui ne proposaient que des services managés, car le cloud est plus agile à un moindre coût. Toutefois, d'ici la fin de l'année, fournir un service cloud est gourmand en capital d'investissement  et la prestation va devenir hautement concurrentielle à travers la transparence des prix  demandée par les clients.

Beaucoup de nouveaux entrants vont s'apercevoir que la bataille est difficile. Et ne croyez pas que celles qui auront des difficultés sont les plus petites sociétés. Parfois, les grandes sociétés devront s'expliquer auprès des actionnaires sur les dépenses engendrées par rapport à des profits décalés dans le temps. Fin 2011 ou début de 2012, les fonds d'investissements vont certainement animés le marché des fournisseurs de service cloud, car certaines initiatives vont échouer.

Prévision  2 : Une segmentation du marché en fonction du client final.

Beaucoup de fournisseurs et d'analystes estiment que le marché des PME est idéal pour le IaaS (Infrastructure as a Services) en raison de leur manque de personnels qualifiés en matière IT. Néanmoins, chacun verra l'année prochaine que ce modèle peut poser quelques problèmes  nouveaux. Avec l'expérience, les professionnels constateront que les  PME adopteront naturellement le SaaS et que les grandes entreprises pencheront plutôt vers le modèle IaaS. Toutefois, le SaaS ne doit en aucun cas rester cantonné à un phénomène propre au PME - loin de là. Il va devenir le choix par défaut des entreprises de toutes tailles qui souhaitent réduire les coûts sur les applications non essentielles.

Prévision 3 : OpenStack entre en piste.

L'attrait d'une pile de logiciels Open Source dédiée au cloud computing  deviendra incontournable. L'adoption d'OpenStack dans le monde devrait s'étendre au cours de la prochaine année. Rackspace a réussi avec OpenStack à fédérer une communauté pour fournir une plate-forme cloud libre et évolutif. Pour développer des fournisseurs de cloud  dans les économies émergentes, cette solution peu coûteuse peut s'avérer essentielle. Dans les économies développées, OpenStack  fournira une plate-forme idéale pour le développement d'applications.

Prévision  4: L'essor du cloud dans les pays émergents.

Dans la majorité de ces pays-là, l'intérêt pour le cloud computing va vite devenir important. Il suffit de faire une analogie avec ce qui s'est passé dans la téléphonie.  La plupart de ces pays sont passés de la téléphonie fixe à la téléphonie mobile, plus commode, plus flexible et à moindre coût. Ce phénomène devrait se reproduire pour le cloud, car il ne nécessite pas d'importants investissements pour l'utilisateur final. Il ne faudra donc pas s'étonner si le taux de croissance du cloud dans ces pays dépasse largement celui des pays développés.

Prévision  5: L'innovation portée par les fournisseurs de cloud et les éditeurs SaaS.

Beaucoup de gens s'étonnent de la rapidité avec laquelle AWS (Amazon Web Services) continue de déployer de nouvelles fonctionnalités. Le lancement dernièrement de Route53, un service robuste et peu coûteuse de  serveur virtuel de DNS, n'est qu'un exemple de la créativité continue de la société. Toutefois, AWS n'est pas le seul en matière d'innovation. En 2011, d'autres sociétés profiteront des capacités du cloud pour fournir des services innovants. C'est le cas par exemple de Qik, qui donne la possibilité de diffuser de la vidéo depuis un téléphone mobile, mais comprend aussi des fonctionnalités supplémentaires comme les alertes twitter en temps réel. Les questions et les observations s'affichent en incrustation pendant la diffusion.

Enquête Rennes Atalante : l'emploi IT a progressé de 2,23% en un an

2010 a été marquée par une reprise de la croissance des emplois dans les entreprises technologiques*  d'Ille-et-Vilaine. C'est ce qui ressort de l'enquête 2010 menée par la technopole Rennes Atalante auprès de 294 sociétés qui s'y sont implantées. L'étude montre que plus d'un millier d'emplois (1 082) ont été créés par ces entreprises entre octobre 2009 et octobre 2010. Pendant cette même période, 569 emplois ont également été supprimés. Au final, les entreprises de Rennes Atalante ont pu générer un solde positif de 513 nouveaux postes en 2010 ( contre 39 en 2009), soit une croissance de l'emploi de 3,07 % (contre 0,24 % en 2009). Le secteur des technologies de l'information qui représente 76 % des emplois des entreprises interrogées a connu une progression de 2,23 % (soit + 283 emplois).

Reprise des embauches dans les SSII

Très dépendantes de la conjoncture économique, les SSII de Rennes Atalante ont pu bénéficier du redémarrage de l'économie. Elles sont au nombre de 50 dans l'enquête emploi de la technopole rennaise et emploient près de 5 000 salariés. En 2010, 96 postes supplémentaires ont été comptabilisés dans le secteur des services informatiques. Pourtant, malgré une année 2009 diffIcile, les SSII rennaises avaient vu leurs effectifs progresser de 1,43 %, croissance qui s'est finalement établie à 4,15 % en 2010. Si France Telecom et ses filiales font partie des plus gros employeurs IT de la technopole, plusieurs SSII de plus de 300 salariés sont également représentées : parmi celles-ci  figurent SII, Capgemini Télécom Média & Défense, Alten Ouest et Atos Origin. Présente depuis la fin des années 70 sur  le pôle Rennes Atalante, la division TMD de Capgemini regroupe actuellement plus de 445 collaborateurs qui sont organisés soit en équipe dédiée à un projet, soit en centre de services client. L'entreprise entend recruter 120 collaborateurs en 2011, des jeunes diplômés issus d' école d'Ingénieurs ou  d'universités (Bac+3 à Bac+5) et également des profils  confirmés justifiant d'une 1ère expérience en développement, architecture ou en conduite de projets informatiques.

Depuis octobre 2009, le réseau de la technopole Rennes Atalante compte 41 entreprises technologiques  supplémentaires : 33 sont des créations pures et 8 sont des établissements de sociétés dont le siège est situé en France. 80 % de ces structures travaillent dans le secteur des technologie de l'information. Elles sont le reflet des pôles de compétences forts du territoire, à savoir les technologies logicielles et celles de l'image (vidéo, 3D, TV), le multimédia, les réseaux de communication ou encore la sécurité des systèmes d'information. En outre, l'arrivée en force des smartphones et de terminaux mobiles a permis la création de nouvelles entreprises spécialisées dans le développement  d'applications innovantes.

* Les entreprises technologiques de Rennes Atalante sont spécialisées dans les technologies de l'information, et également dans les secteurs de la santé, de la biodiversité, de l'agroalimentaire et de l'environnement.

Illustration : vue aérienne du site de Rennes Atalante Beaulieu. Crédit photo : TDF

(...)

Brevets : La société de Paul Allen doit reformuler ses plaintes

La plainte déposée par Interval Licensing n'est pas assez précise sur les produits et les services concernés par la violation de ses brevets, a estimé la juge Marsha Pechman. L'un des investisseurs de cette société n'est autre que Paul Allen, co-fondateur de Microsoft. Celui-ci avait assigné AOL, Apple, eBay, Facebook, Google, Netflix, Office Depot, OfficeMax, Staples, Yahoo et YouTube pour non-respect de 4 brevets. Interval Licensing a hérité des brevets d'Interval Research, société aujourd'hui disparue, fondée par Paul Allen et David Liddle en 1992 et travaillant sur la recherche dans les systèmes d'information, les communications et l'informatique. Les droits de propriété intellectuelle concernés par la plainte couvrent des technologies importantes pour le Web et se décomposent comme suit :

- U.S. Patent No. 6,263,507, relatif à " Browser for Use in Navigating a Body of Information, With Particular Application to Browsing Information Represented By Audiovisual Data."

- U.S. Patent No. 6,034,652 et  No. 6,788,314 relatif "Attention Manager for Occupying the Peripheral Attention of a Person in the Vicinity of a Display Device."

- U.S. Patent No. 6,757,682, relatif "Alerting Users to Items of Current Interest."

La société a jusqu'au 28 décembre pour reformuler sa plainte de manière plus précise.

Dell acquiert Compellent

Les deux groupes ont annoncé la signature d'un accord pour l'acquisition de Compellent par Dell. Après, des discussions exclusives, ce dernier paiera 27,75 dollars par action, soit une valorisation estimée à 960 millions de dollars. Le montant total de l'acquisition est néanmoins minoré à 820 millions de dollars, la différence étant issue de la trésorerie de Compellent.

Cette opération intervient dans un marché du stockage en pleine consolidation. Dell a été le candidat malheureux au rachat de 3Par finalement acquis par HP et dernièrement EMC a repris Isilon. Avec Compellent, Dell va étoffer son portefeuille stockage notamment à destination des grandes entreprises, marché sur lequel un partenariat avec EMC avait été noué. Dans un communiqué, le constructeur indique que les produits de la société d'Eden Prairie, s'intégreront dans son catalogue comprenant déjà les solutions PowerVault, EqualLogic et EMC.

Oracle s'apprête à lancer MySQL 5.5

La disponibilité générale de MySQL en version 5.5 devrait être annoncée par Oracle le 15 décembre, à 10 heures PT (19 heures à Paris), par le biais d'une conférence web. Celle-ci sera conduite par Tomas Ulin, vice-président, responsable du développement de MySQL chez Oracle, et Rob Young, responsable produit senior, qui présenteront les dernières avancées apportées à la base de données Open Source récupérée avec le rachat de Sun.

En livrant la release candidate (RC) 5.5.6 de la version communautaire, en septembre dernier, l'éditeur avait signalé des améliorations dans les domaines de la facilité d'utilisation, de la fiabilité et des performances (illustration ci-dessus). Les résultats des tests communiqués ont indiqué, par exemple, qu'avec le nouveau moteur de stockage InnoDB, cette RC avait gagné sous Linux jusqu'à 200% de performances par rapport à la version 5.1.50 de la base, ,sur les opérations de lecture seule et jusqu'à 369% sur les opérations de lecture/écriture. Sous Windows, les améliorations atteignaient 538% en lecture seule et jusqu'à 500% sur les opérations de lecture/écriture.

Des progrès sur les capacités d'extension

Une autre RC (5.5.7) a été livrée le 10 novembre. L'éditeur indiquait alors que la disponibilité générale du produit interviendrait dès lors qu'il recevrait suffisamment de retours positifs. Outre les améliorations de performances, la version 5.5 inclut des changements importants au niveau des capacités d'extension (scalability) de la base. Ces modifications exploitent les avancées des processeurs et permettent une meilleure utilisation du matériel.

Une autre conférence web est prévue par Oracle, un jour plus tôt (mardi 14 décembre, à 18 heures, heure de Paris) pour présenter la feuille de route du moteur de stockage transactionnel InnoDB, très apprécié des utilisateurs de MySQL. Les interlocuteurs prévus sont Calvin Sun, de l'équipe InnoDB et Rebecca Hansen, responsable marketing produit de MySQL.

Un nombre croissant d'offres alternatives

Lors du rachat de Sun, Oracle avait pris l'engagement de poursuivre l'amélioration de la base de données Open Source. Notamment parce qu'on le soupçonnait alors de vouloir la mettre sous le boisseau au profit de sa propre base. La Commission Européenne avait en particulier longuement enquêté pour s'assurer que le rachat de Sun n'allait pas créer de situation anticoncurrentielle sur ce marché. De fait, Oracle fait donc évoluer MySQL. Mais, dans le même temps, il a aussi sensiblement relevé le prix des tarifs de support de base associé à cette offre Open Source. Une décision mal digérée par de nombreux utilisateurs. Oracle a justifié sa décision en affirmant que ses clients recevraient un service bien supérieur à celui que Sun offrait avec le support de base de MySQL.

Cela dit, les entreprises qui ne souhaitent pas passer sous les fourches caudines de l'éditeur peuvent désormais se retourner vers un nombre croissant d'offres concurrentes. Parmi celles-ci figure en particulier le Monty Program, proposé par Michael 'Monty' Widenius, fondateur et créateur de MySQL, qui a lancé en 2009 le projet MariaDB, une branche dérivée de MySQL. Au nombre des offres alternatives figure aussi le récent SkySQL. (...)

Le gouvernement américain concentre ses datacenters et mise sur le cloud

Le programme, publié par Vivek Kundra CIO du gouvernement fédéral, prévoit la suppression d'au moins 800 centres de calcul sur les 2 100 d'ici à 2015. Ils pourront ainsi fonctionner aussi bien sur des clouds publics, privés et gouvernementaux L'objectif, dit-il, est d'aider les agences à partager les services et éviter ainsi les doublons. Depuis sa nomination par Barack Obama, Vivek Kundra est un ardent défenseur du cloud computing, de la transparence dans les dépenses IT et l'utilisation de tableaux de bord. Il a également sollicité des idées et des opinions, auprès du secteur privé, sur l'amélioration de l'exploitation des datacenters.

Mais le plan du DSI gouvernemental manque d'éléments importants comme le nombre de salariés du gouvernement qui seront affectés par cette réorganisation, expliquent les analystes. Ainsi, ils soulignent l'absence d'indications sur le sort des salariés dont les datacenters vont être consolidés, ni de ceux dont les activités vont être déplacées sur un cloud public. La mise en oeuvre de ce plan impliquera une réorganisation du personnel sous la forme d'équipes intégrées. Cette démarche demandera des besoins de formation, en particulier la mise à niveau des salariés pour travailler sur ces nouveaux environnements.

Un impact à plusieurs niveaux

Le budget informatique du gouvernement fédéral s'élève à 80 milliards de dollars et constitue une source majeure d'emplois du secteur privé dans la région de Washington DC. La consolidation et le partage de services IT risquent aussi d'avoir un impact sur ces prestataires, comme l'a rappelé TechAmerica, un groupe industriel, qui compte 293 000 travailleurs IT dans cette région.

Plus largement, le plan ne donne pas une fourchette de prix pour la mise en oeuvre, ni sur les économies réalisées. Ray Bjorklund, analyste chez Federal Sources, apprécie le plan, mais le considère comme très conceptuel. « Il  résume plusieurs initiatives en les mettant en perspective » dit-il et d'ajouter « ce n'est pas tout à fait un plan d'action ». Par exemple, l'utilisation des environnements de cloud computing implique la nécessité de faire appel à des « professionnels IT expérimentés et bien formés. » Ray Bjorklund estime que ce plan impliquera une approche plus économique de l'IT.

Son efficacité, cependant, peut varier entre les institutions. En effet, les organismes fédéraux feront des arbitrages dans un environnement standardisé et ce qui peut convenir à une agence ne l'est peut-être pas pour une autre. « Cela va nécessiter d'importants changement de culture », a déclaré Deniece Peterson, analyste chez Input.

Illustration: Vivek Kundra, CIO du gouvernement fédéral américain

Quand Microsoft voulait racheter Facebook pour 15 milliards de dollars

Selon Fritz Lanman, directeur en charge de la stratégie et des acquisitions chez Microsoft, « Mark Zuckerberg, CEO de Facebook, a refusé l'offre de 15 milliards de dollars que lui a fait en 2007 Steve Ballmer, le CEO de Microsoft. » Interviewé après sa prestation, celui-ci a donné quelques détails sur la transaction et son échec : « Oui, nous avons essayé d'acquérir Facebook, » comme le rapporte TechCrunch. « À l'époque, Facebook présentait beaucoup de similitudes avec Microsoft. » Après le refus de Facebook, l'éditeur a pris une participation à hauteur de 240 millions de dollars dans l'entreprise de Mark Zuckerberg. Les deux sociétés ont depuis continué à travailler ensemble. En octobre, elles ont annoncé une association pour rendre la recherche du moteur Internet Bing plus sociale. Dans le cadre de ce partenariat, le moteur de recherche de Facebook, alimenté par celui de Microsoft, facilite la recherche de personnes sur le site de réseautage social.

Un rachat qui n'était pas une garantie de succès

Pour Fritz Lanman, Facebook pourrait valoir un jour autant que Microsoft. «On peut dire que Microsoft a raté une énorme occasion d'acheter Facebook lorsque Steve Ballmer a rencontré Mark Zuckerberg, » renchérit Dan Olds, analyste au Gabriel Consulting Group. «Plusieurs fois, Microsoft a offert une énorme quantité d'argent, mais sa proposition a toujours été refusée. Comme Facebook est une entreprise privée, la meilleure chose à faire pour Microsoft était de prendre une petite participation (240 millions de dollars). » La décision de Mark Zuckerberg pour sa startup naissante a peut-être été la bonne. « Qui peut dire si Facebook aurait eu autant de succès si elle avait été rachetée et dirigée par Microsoft ? »  se demande Dan Olds. « De ce que nous connaissons de Microsoft, on peut se dire que l'éditeur aurait pu tout gâcher ! »

Illustration :  Fritz Lanman, directeur en charge de la stratégie et des acquisitions chez Microsoft, crédit D.R.

Un suicide chez Webhelp aboutit à une déclaration d'accident du travail

Forum Decideo : Mieux analyser les comportements en ligne