Flux RSS
108538 documents trouvés, affichage des résultats 951 à 960.
| < Les 10 documents précédents | Les 10 documents suivants > |
(19/01/2012 09:57:13)
Annuels Esker : des résultats records soutenus par le SaaS et l'international
L'éditeur français spécialisé dans l'automatisation des processus documentaires et la dématérialisation des documents de gestion peut se frotter les mains. Notamment porté par un excellent dernier trimestre, le chiffre d'affaires de son exercice 2011 a atteint 36,29 M€ (millions), en hausse de 13% comparé à l'année précédente. Il s'agit de la meilleure performance de la société depuis sa création en 1985. Elle la doit en totalité aux ventes de ses solutions de dématérialisation dont les revenus annuels ont crû de 19% à 29,58 M€. De leur côté, les chiffres d'affaires issus des ventes de ses serveurs de fax (activité historique d'Esker) et de ses solutions d'émulation de terminaux ont chuté respectivement de -9% (4,6 M€) et -6 % (2,1 M€).
Deux autres facteurs ont également contribué à la belle réussite de l'éditeur cette année, en commençant par sa présence aux Etats-Unis où ses revenus ont enregistré une hausse de 19% en 2011. En deuxième lieu, Esker a profité de la progression soutenu de ses ventes de solutions en mode SaaS qui ont représenté 48% de son activité en 2011. A titre d'exemple, l'activité cloud a connu une croissance de 25% sur le seul quatrième trimestre 2011.
(...)
Faille critique dans Oracle Database : un patch à appliquer d'urgence
Ces deux derniers mois, nos confrères d'InfoWorld (du groupe IDG, un actionnaire du Monde Informatique), ont mené des recherches sur une vulnérabilité dans le logiciel phare d'Oracle, Database, qui pourraient avoir de graves répercussions pour les clients de l'éditeur, et potentiellement compromettre la sécurité et la stabilité des systèmes reposant sur la célèbre base de données.
Généralement, quand un bug se produit suite à une défaillance dans une base de données, les systèmes affectés peuvent être restaurés à partir des sauvegardes. Mais comme InfoWorld nous l'explique dans son enquête, un ensemble de problèmes techniques pourrait entrainer des défaillances à répétition dans la base de données d'Oracle et demander du temps et des efforts considérables pour corriger les erreurs. Selon une source qui a préféré rester anonyme, « C'est un problème très sérieux pour nous. Nous passons beaucoup de temps et dépensons beaucoup d'argent pour surveiller, planifier, et régler le problème dès qu'il se produit. »
Une enquête longue et minutieuse
Avant de rapporter ce problème, nos confrères ont effectué leurs propres tests, recoupé leurs informations avec des sources jugées fiables, et discuté à de nombreuses reprises avec Oracle, qui a reconnu qu'InfoWorld avait attiré son attention sur les aspects sécuritaires de ce problème. « Après avoir informé Oracle de nos découvertes et suite à plusieurs discussions techniques, l'éditeur nous a demandé de retenir cette information le temps de développer et de tester les correctifs relatifs à ces vulnérabilités. Dans l'intérêt des utilisateurs d'Oracle, nous avons accepté. Ces patches sont disponibles dans les mises à jour qu'Oracle a publiées au mois de janvier 2012 », expliquent nos confrères d'Infoworld qui ont réalisé un travail remarquable.
Pour être clair, l'aspect sécuritaire de la faille fait que n'importe quel client utilisant la version non patchée de la base de données d'Oracle pourrait être victime d'attaques malveillantes. Pire encore, un autre aspect, plus fondamental, pourrait poser un risque particulier pour les plus grands clients d'Oracle utilisant des bases de données interconnectées. Les deux problèmes proviennent d'un mécanisme ancré en profondeur dans le moteur de la base de données d'Oracle, avec lequel la plupart des DBA ont rarement à faire dans leur quotidien. Le coeur du problème réside dans le SCN (System Change Number), un système d'identification interne qui attribue un numéro à chaque validation de transaction : insertions, mises à jour et suppressions. Ces numéros sont attribués de manière séquentielle - sur une base temps - donc sans retour en arrière - lors de chaque modification de la base de données : insertions, mises à jour et suppressions. Le SCN est également incrémenté lors des échanges entre plusieurs SGBD liés.
Une vulnérabilité dans l'horloge interne de Database
Le SCN est crucial pour le fonctionnement de la base de données Oracle. « L'horodatage » SCN est la fonction clef pour maintenir la cohérence des données en permettant au SGBD de répondre aux requêtes de chaque utilisateur avec la version appropriée des données. Le SCN joue également un rôle important dans la consistance de la base de données car toutes les opérations de restaurations se font à partir de cet index.
Lorsque des bases de données Oracle sont reliées les unes aux autres, le maintien de la cohérence des données impose une synchronisation dans un SCN commun. Les architectes qui ont développé l'application phare d'Oracle étaient bien conscients que les SCN allaient générer un très grand nombre de numéros et ont donc intégré un générateur sur 48 bits. Soit 281 474 976 710 656 numéros attribuables. Il faudrait donc une éternité pour qu'une base de données Oracle épuise cette matrice pensez-vous ! Ajoutons qu'Oracle avait imposé une limite souple pour garantir qu'à un instant donné la valeur d'une clef SCN ne soit pas déraisonnablement élevée, ce qui indiquerait un dysfonctionnement de la base de données. Si la limite est dépassée, cette dernière peut devenir instable et / ou indisponible. Et parce que la numérotation du SCN ne peut pas être descendue ou remise à zéro, la base de données ne peut pas être restaurée à partir d'une sauvegarde. Une analogie peut être faite avec le bug de l'an 2000 sur un système non patché.
[[page]]
La limite imposée par Oracle découle d'un calcul très simple avec un seuil ancré dans le temps il y a 24 ans. Prenez le nombre de secondes depuis le 01/01/1988 à 00:00:00 et multipliez ce chiffre par 16 384. Si la valeur actuelle du SNC est inférieure à cela, alors tout va bien et le traitement continue normalement. Pour mettre cela en termes simples, le calcul suppose qu'avec une base de données fonctionnant en permanence depuis le 01/01/1988, il est impossible dans la réalité d'arriver à 16 384 transactions par seconde.
Mais il est toujours possible de modifier les conditions de cette réalité pour repousser la limite du SNC.
Le bug de sauvegarde
Un exemple récent vient sous la forme d'un bug de la base de données Oracle avec la fonction qui assure les sauvegardes live. Elle permet à un administrateur d'exécuter une commande afin de faciliter la sauvegarde d'une base de données en direct. C'est une fonction très pratique qui peut être exécutée facilement : «ALTER DATABASE BEGIN BACKUP » est la commande dont vous avez besoin. Vous pouvez ensuite sauvegarder la base jusqu'à ce que vous saisissiez la commande « ALTER DATABASE END BACKUP» qui switche sur le mode de fonctionnement normal. Un moyen très simple pour un administrateur de faire des sauvegardes de ses bases de données en production.
Le problème est que, en raison d'un codage défaillant, la commande «BEGIN BACKUP » entraine un bond spectaculaire du SCN qui continuera d'augmenter à un rythme effréné même après la saisie de la commande « END BACKUP » . Ainsi, effectuer une sauvegarde à chaud peut augmenter de plusieurs millions ou mêmes milliards la valeur du SCN. Dans la plupart des cas, les limites du SCN sont si éloignées que ce saut occasionnel n'est pas une cause de préoccupation majeure. Il est même certain que bien peu d'administrateurs ont remarqué le problème.
L'interconnection des bases multiplie l'effet du bug SCN
Mais quand vous mélangez le bug de sauvegarde live avec un grand nombre de bases de données interconnectées dans une mise en oeuvre massive de la plate-forme d'Oracle, la combinaison peut entraîner une élévation énorme du SCN. Certains grands clients d'Oracle ont des centaines de serveurs exécutant des centaines d'instances Database interconnectées dans toute l'infrastructure. Chacun peut être chargé avec un service de base et quelques fonctions moins importantes - mais presque tous sont reliés entre eux, à travers un, deux, quatre ou plus de serveurs intermédiaires.
Avec tous ces serveurs interconnectés, les SCN se synchronisent à un moment ou un autre. Collectivement, ils pourraient dépasser les 16 384 transactions par seconde, mais certainement pas depuis le 01/01/1988, donc la limite SCN n'est pas dépassée. Mais que faire si une DBA sur une partie de ce réseau Oracle gère la sauvegarde live et déclenche le précédent bug ? Soudain, le SCN fait un bond de, disons 700 millions, et ce nombre devient bientôt la référence pour tous les SCN interconnectés sur le réseau. Quelque temps plus tard, une autre commande de sauvegarde live est enclenchée par un DBA de l'autre côté de l'entreprise. Le SCN pousse jusqu'à quelques centaines de millions cette fois-ci, également synchronisé sur toutes les instances reliées au fil du temps.
Avec l'émission de quelques commandes de sauvegarde, le SCN d'un groupe de bases de données Oracle peut augmenter de plusieurs centaines de millions, voire de centaines de milliards dans une courte période. Même les SGBD qui se relient occasionnellement, par semaine ou par mois, pourraient voir leur nombre SCN bondir de plusieurs milliards.
Dans un tel scénario, ce n'est qu'une question de temps pour que les commandes de sauvegarde dépassent la limite du SCN et entrainent des problèmes très sérieux, blocage des requêtes provenant d'autres serveurs, ou plantages tout simplement.
[[page]]
Oracle a publié un correctif pour le bug du SCN lors des sauvegardes avant que l'équipe d'InfoWorld commence à enquêter sur cette histoire. Le bug de sauvegarde est répertorié comme le 12371955 : « croissance élevée du SCN ALTER DATABASE BEGIN BACKUP dans 11g. » Si vous n'avez pas déjà installé ce patch, Oracle recommande une installation immédiate.
Jusqu'à récemment, en dehors de la correction du bug de sauvegarde, la seule réponse d'Oracle à la question de la limite du SCN - pour autant que nous avons été en mesure de déterminer - a été de publier un patch qui étend le calcul de SCN à 32 768 fois le nombre de secondes depuis le 01/01/1988, doublant ainsi la taille de la limite. Oracle a même rendu modifiable cette limite, les administrateurs peuvent encore augmenter le multiplicateur. Si ce patch est appliqué à une instance d'Oracle, il va alléger le problème du SCN. Toutefois, il introduit aussi de nouvelles variables.
Impossible de patcher tous les serveurs en même temps
Une partie du problème est que vous ne pouvez pas mettre à jour tous les systèmes en même temps. De plus, si vous avez un système patché avec une limite d'élévation - basé sur un multiplicateur de, disons, 65 536 - le SCN sur ce système pourrait être plus élevé que le SCN sur un système non patché utilisant le multiplicateur de 16 384 d'origine. Le système non patché pourrait donc refuser la connexion. Il y a aussi la question des serveurs exécutant d'anciennes versions d'Oracle qui ne bénéficieront pas de correctif.
Par ailleurs, si ce patch est inclus par défaut dans la prochaine version d'Oracle Database, les administrateurs vont peut-être soudainement découvrir que leurs anciens serveurs sont incapables de communiquer avec les serveurs dotés de la version bénéficiant d'une méthode de calcul plus élevée pour le SCN. Pire, ils pourraient s'aligner sur les nombres du nouveau système de calcul, mais en gardant leur limite d'origine. Comme mentionné précédemment, le risque d'un tel scénario est très faible, sauf dans les environnements hautement interconnectés où un SCN élevé peut plomber un serveur à la manière d'un virus. Et une fois le serveur infecté, il n'y a aucun retour en arrière possible. Aussi, si le SCN est incrémenté arbitrairement - ou manuellement, avec une intention malveillante - alors la limite des 48 bits ne sera pas aussi astronomique qu'on le pensait au début de ce papier.
Un point préoccupant pour les utilisateurs
La rédaction d'InfoWorld a contacté des utilisateurs américains de la base de données d'Oracle pour parler de ce problème. Plusieurs de ces interlocuteurs n'étaient pas familiers avec le sujet; d'autres ont indiqué que les accords de licences Oracle les empêchent de faire des commentaires sur tout aspect de leur utilisation des produits de l'éditeur. Le chef de l'Independent Oracle User Group (IOUG), Andy Flower, a simplement indiqué au sujet de ce dossier: « Ce bug avec les numéros du SCN est évidemment un point qui préoccupe nos membres. Je suis sûr que ce sera un sujet que certains de nos membres les plus importants aborderont. Ils vont se réunir et en discuter. »
Parmi les experts Oracle, nos confrères d'Inforworld ont rencontré Shirish Ojha, senior DBA Oracle pour Logicworks, un fournisseur de services en ligne de type cloud. Il était bien sûr informé des problèmes du SCN, et notamment du bug de la numérotation. Il reconnaît que quelques environnements Oracle sont susceptibles de rencontrer le problème, et que les conséquences peuvent être graves. « S'il y a un bond spectaculaire dans les SCN en raison d'un bug Oracle, il y a une probabilité minimale de rupture si ce nombre devient anormalement élevé », a déclaré M. Ojha, qui a obtenu le très convoité titre d'Oracle Certified Master. « Si cela se produit pendant des transactions intensives sur une grande architecture interconnectée, cela va rendre toutes les bases de données interconnectées Oracle inutiles dans un laps de temps très court. »
M. Ojha poursuit : « Si cela se produit, même si la probabilité reste faible, le potentiel de perte [financière] ... est très élevé. » Par définition, dit-il, le problème peut potentiellement uniquement affecter tous les grands clients d'Oracle. Mais « une fois la limite SCN atteinte, il n'existe pas d'autre moyen de sortir du problème, que de fermer toutes les bases de données et de les reconstruire à partir de zéro. »
[[page]]
Anton Nielsen, le président C2 Consulting et expert Oracle, a évalué le risque potentiel d'attaque malveillante utilisant un SCN élevé: « En théorie, l'attaque SCN élevée est similaire à une attaque DoS de deux manières significatives : Il peut mettre un système à genoux, le rendant inutilisable pour une période de temps significative, et il peut être accompli par un utilisateur avec des autorisations limitées. Alors qu'une attaque DoS peut être perpétrée par n'importe qui avec un accès réseau à un serveur web, la modification du SCN nécessite un accès à la base de données via un nom d'utilisateur et un mot de passe. »
La réaction d'Oracle
Lorsque nos confrères d'Infoworld ont contacté Oracle au sujet du SCN, Mark Townsend, vice-président en charge des bases de données, a demandé un peu de temps pour évaluer le problème. « La façon dont vous mettez ces [questions] ensembles ne ressemble à rien de ce que nous avons vu ... nous avons besoin de comprendre ce que vous avez fait pour élever de plusieurs milliards le SCN. »
Après de nombreuse discussions et l'échange de données techniques, Oracle a reconnu qu'il y avait plusieurs façons d'augmenter le SCN à volonté. Se référant à une de ces méthodes, M. Townsend a déclaré : « C'est une situation irrégulière, un paramètre caché, il n'a jamais été prévu que les clients le découvrent et l'utilisent. » Toutefois, nos confrères ont souligné qu'il y avait plusieurs autres méthodes qui pourraient être utilisées. Elles ont bien sûr été détaillées à Oracle.
Des correctifs disponibles depuis janvier 2012
Pour corriger ces vulnérabilités, Oracle a publié une série de patchs présents dans sa mise à jour de janvier (Oracle Critical Patch). Ces correctifs bloquent les différentes méthodes qui permettent d'augmenter artificiellement la numérotation du SCN et mettent en oeuvre une nouvelle méthode de protection, ou «l'inoculation», comme le dit M. Townsend, pour les bases de données Oracle.
Nos collègues n'ont pas eu le temps de tester exhaustivement ces correctifs, ils ne savent donc pas encore ce que cache le terme «inoculation». En fait, sans de nombreux tests, il est pour l'instant impossible de fournir plus de détails sur les moyens de bloquer la hausse de la numérotation du SCN lorsque plusieurs bases de données sont interconnectées.
Ces correctifs sont seulement disponibles pour les récentes versions du SGBD de l'éditeur : Oracle 11g 11.1.0.7, 11.2.0.2, et 11.2.0.3, ainsi qu'Oracle 10g 10.1.0.5, 10.2.0.3, 10.2.0.4 et 10.2.0.5. Les versions plus anciennes continueront d'être affectées. Étant donné le grand nombre d'installations de licences Oracle 11.2.0.2.0 et 10.1.0.5, une importante base installée restera vulnérable.
Les prochaines étapes
La prochaine étape pour les administrateurs de SGBD Oracle est d'inspecter les valeurs SCN de leurs bases de données. Par la suite, l'application du patch de sauvegarde live est cruciale, comme le sont les patchs de suivi qui traitent de la capacité d'augmenter arbitrairement la valeur du SCN via les commandes d'administration. Cependant, puisque des correctifs existent pour les nouvelles versions de la base de données, il doit certainement y avoir un moyen de moderniser les anciennes bases de données pour régler le problème.
Il est également essentiel que les administrateurs DBA évitent soigneusement de connecter des serveurs Oracle non patchés à d'autres bases de données Oracle au sein de leur infrastructure. Ce sera un vrai défi pour toutes les entreprises qui utilisent des versions différentes d'Oracle DBA, mais c'est indispensable pour éviter une corruption du SCN.
Tous les commentaires et les témoignages des spécialistes de la base de données d'Oracle sont les bienvenus.
Avec System Center 2012, Microsoft arrive sur le cloud privé
Microsoft a annoncé le lancement de System Center 2012 en version Release Candidate. Une préversion avait été mise à disposition des entreprises qui gèrent plus de 100 000 machines virtuelles souligne Satya Nadella, président de la division Server and Tools Business. Au mois de mars dernier, une version bêta avait donné plusieurs indications sur les orientations de cette solution. En utilisant System Center, une entreprise peut gérer son cloud privé ainsi que les applications et les services qu'elle a dans les clouds publics (Azure ou Amazon). Cette approche hybride est de plus en plus fréquemment utilisée.
System Center 2012 combine huit modules (App Controller, Configuration Manager, Data Protection Manager, Endpoint Protection, Operations Manager, Orchestrator, Service Manager, Virtual Machine Manager) dans un seul produit et répond ainsi à une plainte souvent formulée par les clients sur le paiement des licences. « Nous avons entendu que la gestion des licences est complexe » a déclaré Brad Anderson, vice-président de la division Management et Sécurité de Microsotft. Il n'existera que deux versions, Standard et Datacenter de System Center 2012. De plus, La firme de Redmond base sa licence sur un modèle légèrement différent de celui de ses concurrents. Les clients paient System Center 2012 en se basant sur les serveurs, plutôt que sur les machines virtuelles. Pour Brad Anderson « cela va réduire les coûts des utilisateurs qui font fonctionner plusieurs machines virtuelles par serveurs ». A noter que la solution de Microsoft supporte maintenant XenServer de Citrix.
Multi-équipement et multi-hyperviseur
Lors de la conférence vidéo de présentation du produit, Microsoft a mise en avant quelques entreprises qui utilisent déjà System Center, comme Luftansa, T. Rowe Price et Unilver. Elles ont témoigné que System Center 2012 leur avait permis de faire évoluer rapidement leurs infrastructures et d'automatiser la gestion de leurs systèmes. Pour Microsoft, sa solution s'adresse aux administrateurs des entreprises qui gèrent plus de 30 serveurs. Sur le plan des fonctionnalités, les administrateurs pourront gérer des périphériques ne fonctionnant pas dans un environnement Microsoft, y compris les smartphones. Brad Anderson explique que « auparavant les terminaux étaient au coeur du processus de gestion, System Center 2012 place l'utilisateur au milieu [de ce processus] » et d'ajouter « cela signifie qu'un administrateur peut définir des politiques pour un salarié quel que soit le terminal utilisé (smartphone ou tablettes), sous Android ou iOS ».
La release candidate de System Center 2012 est disponible immédiatement. S'il n'y a pas d'erreurs de dernière minute, la prochaine étape sera la version finale du produit. En matière de prix, la version Standard commence à 1323 dollars par serveur et 3607 dollars par serveur pour l'édition Datacenter.
(...)
SAP rachète SAF, spécialiste de la gestion de prise de commande
C'est lors de la convention annuelle de la NRF (évènement sur la distribution) à New York que SAP a annoncé l'acquisition de SAF. L'acronyme du nom de la société signifie Simulation, Analysis, Forecasting et propose des solutions automatisées de prises de commandes et de prévisions. Les solutions de SAF seront intégrées dans celles de SAP, dont l'application Forecasting and Replenishment. L'objectif est de donner aux distributeurs les moyens d'interagir, en quasi temps réel, avec leurs chaînes d'approvisionnement pour éviter les risques liés aux excédents et aux sur-stocks.
Le montant de l'opération n'a pas été dévoilé
(...)
802.11 ac, le Gigabit sans fil avance à toute allure
Selon un rapport d'IMS Research, les premiers produits basés sur la norme réseau sans fil 802.11ac, attendus plus tard cette année, bénéficieront d'un très bon accueil. L'IMS estime ainsi que, au cours de cette seule année 2012, plus de 3 millions de produits 802.11ac seront commercialisés, dont des routeurs et des ordinateurs portables compatibles avec la prochaine norme sans fil. « C'est un début très positif, » a déclaré Filomena Berardi, analyste senior des marchés chez IMS.
Les détaillants devraient proposer les premiers produits compatibles avec la norme sans fil 802.11ac d'ici à la fin de l'année. « Lors du Consumer Electronics Show (CES) qui s'est tenu à Las Vegas la semaine dernière, on a pu voir des chipsets et des routeurs 802.11ac, et il ne faudra pas attendre longtemps pour trouver sur le marché des ordinateurs portables équipés de la norme 802.11ac. Ils seront même vite majoritaires, » a déclaré l'analyste. Selon IMS, la technologie va se répandre rapidement, et le cabinet avance qu'en 2016, plus de 400 millions d'appareils affichant la norme seront livrés. « Le gigabit sans fil avance à toute allure, » a déclaré IMS.
Des transferts supérieurs au Gigabit, en théorie bien sûr
La norme 802.11ac offrira des vitesses de transfert plus élevées (jusqu'à 1,3 Gigabit/s en théorie) que celles permises par la norme 802.11n, grâce notamment à l'utilisation d'un spectre plus large et une technologie d'antenne plus évoluée. Mais l'accès à ces performances aura un coût. « Les entreprises devront s'équiper de nouveaux routeurs clients WiFi et de nouveaux points d'accès, car les circuits existants ne peuvent pas être mis à niveau pour gérer la norme 802.11ac, » selon Aruba Networks. Ce qui ne l'empêche pas de penser que la technologie aura tout de même beaucoup de succès. « L'élément moteur, c'est la possibilité pour les entreprises d'augmenter le trafic vidéo dans leurs réseaux, » a déclaré Peter Thornycroft d'Aruba Networks dans une vidéo récente où il explique les bases du 802.11ac.
Cependant, tous les produits ne bénéficieront pas de la nouvelle norme au moment où elle sera disponible. « Les premiers smartphones 802.11ac n'arriveront pas avant 2014, principalement à cause de la hausse potentielle de coûts que cela pourrait induire et également pour des questions de conception, » a déclaré IMS. Cependant les smartphones et autres routeurs clients seront toujours en mesure d'accéder aux réseaux WiFi en 802.11n, dans la mesure où la plupart des points d'accès seront capables de gérer les deux normes en même temps, le 802.11n qui utilise la bande de fréquence à 2,4 GHz et le 802.11ac celle à 5 GHz.
Malgré des conditions économiques peu favorables, les entreprises dépensent plus d'argent dans les réseaux WiFi. Les recettes globales du secteur ont augmenté de plus de 20% pendant le troisième trimestre, comparé à la même période de l'année dernière. Selon une étude de marché réalisée par le cabinet Dell'Oro Group, cette hausse provient en grande partie d'une augmentation de 40% des ventes pour l'entreprise.
(...)(18/01/2012 14:25:46)La NSA dévoile une version sécurisée d'Android
Le projet Android SE est basé sur des recherches antérieures de la NSA sur les contrôles d'accès obligatoires, qui a donné naissance au programme Linux SE (Security Enhanced) en 2000. Ce dernier est une collection de modules de sécurité destinés au noyau Linux et d'autres outils qui restreignent l'accès aux ressources par l'utilisateur ou les applications. Au fil des ans, la plupart des modifications de faible niveau sur Linux SE ont été intégrées dans le kernel classique de Linux. Elles ont également été portées sur Solaris et FreeBSD.
La NSA a révélé l'année dernière à la conférence sur la sécurité de Linux, son plan pour le portage de Linux SE sur l'OS mobile de Google dans le cadre du projet Android SE. La première version de ce projet a été publiée le 6 janvier.
Android SE améliore le modèle de sécurisation des applications sur Android classique, qui est basé par défaut sous Linux par un contrôle d'accès discrétionnaire (DAC). Sous DAC, une application lancée par un utilisateur a accès à tous les fichiers et les ressources disponibles. Ce qui change avec Android SE est que les ressources accessibles pour une application pourront être limitées par une politique définie. L'objectif est de limiter les dégâts d'une attaque exploitant certaines vulnérabilités.
Eviter le piratage via des outils exploitant les failles
Beaucoup d'outils de piratage pour Android comme GingerBreak, Exploid ou RageAgainstTheCage, ciblent des failles dans les services de l'OS mobile. Par exemple, GingerBreak profite d'une vulnérabilité dans vold, le volume daemon d'Android (programme d'amorçage), qui fonctionne comme un root (donnant toutes les permissions sur le système). La version SE de l'OS mobile peut bloquer cette méthode à différentes étapes de son exécution, en fonction du niveau des politiques de sécurité appliquées. Malheureusement, l'installation d'Android SE sur des terminaux n'est pas aussi simple que d'autres versions personnalisées de l'OS mobile de Google. Le projet ne fournit pas de programmes pré-compilés.
Les utilisateurs intéressés par le déploiement d'Android SE doivent d'abord télécharger et travailler le code source d'AOSP (Android Open Source Project).Ils doivent ensuite le synchroniser avec Android SE pour lui appliquer des modifications et des correctifs. Le site du projet contient les indications pour procéder. Il rappelle notamment que ce projet s'adresse aux entreprises et organismes qui ont besoin de mettre en oeuvre des politiques strictes de contrôle d'accès similaires à celles certifiées par le ministère américain de la Défense. Reste à savoir si en Europe on peut vraiment faire confiance à une distribution Linux ou à une mouture d'Android sécurisée par la NSA...
(...)
Des données volées à l'agence spatiale japonaise
JAXA, l'Agence d'exploration aérospatiale du Japon, a reconnu avoir trouvé un autre cheval de Troie sur l'ordinateur de l'un de ses employés le 6 janvier. L'agence avait déjà trouvé des logiciels malveillants sur le PC de ce salarié en juillet dernier à la suite de l'ouverture d'une pièce jointe infectée. L'agence pense que cette première infection, découverte un mois après l'incident, a donné lieu à un vol de données, dont 1 000 adresses e-mail, des informations de connexion à l'intranet de l'Agence spatiale japonaise, et des documents de la NASA concernant l'exploitation de l'ISS.
Étant donné que le salarié concerné travaille sur le véhicule JAXA H-II Transfer (HTV), surnommé « Konotori », l'agence s'inquiète du fait que la dernière infection pourrait également avoir permis à des pirates d'accéder aux données sur le projet. « Des informations stockées dans l'ordinateur du salarié et dans le système d'information auquel il a accès ont été subtilisées. Nous confirmons aujourd'hui la fuite de ces renseignements et nous enquêtons sur l'origine de ce piratage, » a indiqué l'Agence dans une déclaration relayée par la presse japonaise. « Au regard de ces évènements, tous les mots de passe de tous les systèmes accessibles à partir des ordinateurs de l'Agence ont été immédiatement changés afin d'empêcher l'usage des informations qui ont été éventuellement subtilisées. Nous cherchons aussi actuellement à évaluer l'ampleur des dégâts et leur impact possible. En outre, tous les autres terminaux informatiques sont en cours de vérification, à la recherche de virus. »
Le H-II est un véhicule sans pilote utilisé pour acheminer des matériels jusqu'à l'ISS. Le véhicule a été lancé pour la première fois en 2009 et un second décollage est prévu pour le dimanche 22 janvier. Ce n'est pas la première fois que la NASA et l'ISS subissent des piratages et sont victimes de vol de données. Au mois de novembre 2011, un Roumain accusé de s'être introduit dans les systèmes de la NASA a été arrêté. En 2008, la NASA a confirmé qu'un ordinateur portable emmené dans la station spatiale internationale avait été infecté par le ver commun Gammima.AG. Les systèmes du gouvernement américain ont eux-mêmes été victimes d'une vague d'infections embarrassantes, notamment le piratage de fournisseurs travaillant pour la défense américaine, mais aussi des attaques visant des hommes politiques et des représentations diplomatiques. Comme dans le cas de JAXA, toutes ces attaques impliquaient des chevaux de Troie conçus pour dérober des données. Aujourd'hui, l'hypothèse qu'une attaque concertée aurait été menée contre les infrastructures américaines par des criminels ou un service de renseignement étranger semble se préciser.
(...)(18/01/2012 11:54:23)Rideau noir sur plusieurs sites web pour protester contre SOPA et PIPA
Google a noirci son logo et posté un bref message sur sa page d'accueil : « Dites au Congrès: S'il vous plaît ne censurez pas le web ! ». Le message, qui a été visible pour les utilisateurs non américain, comportait un lien vers une pétition s'opposant aux lois SOPA (Stop Online Piracy Act) en discussion à la Chambre des représentants et PIPA (Protect IP Act) en débat au Sénat. Ces lois prévoient de lutter contre les contrefaçons sur Internet. Elles ont été demandées par les industries de la musique et du cinéma et prévoient notamment le blocage d'un site via le filtrage DNS, dès qu'une infraction est constatée, sans action judiciaire préalable.
Plusieurs sites vont également participer à ces actions qui vont débuter à 8h00 du matin sur la côte Est des Etats-Unis. Ben Huh, le PDG de Cheezburger, qui gère sites humoristiques, a déclaré dans un message sur Twitter qu'une panne d'électricité allait se déclencher dès 8h du matin sur l'ensemble de ses sites. La Fondation Wikimedia Foundation a déclaré lundi que la communauté Wikipédia avait décidé de noircir sa version anglaise pour protester contre les lois SOPA et PIPA. Dans un message intitulé « Imaginez un monde sans un savoir libre », l'encyclopédie en ligne considère que le Congrès américain envisage une législation « qui pourrait être fatal à un Internet libre et ouvert ». Le noircissement de la page devrait durer 24 heures. Les militants de l'Electronic Frontier Foundation ont également noirci le fond de son site Internet et a superposé une bannière sur son logo où il est écrit « Stop Censure ».
Certains ont été plus loin en fermant purement et simplement l'accès à leurs sites. C'est le cas de Craiglist, mais uniquement aux Etats-Unis, avec la simple mention : « Imaginez un monde sans Craiglist, Wikipedia, Google. Le groupe de hackers Anonymous a aussi rejoint le mouvement en postant des messages contre la loi SOPA sur ses sites web. Le site d'actualités Reddit a décidé de fermer son site pendant 12 heures.
Twitter résiste et le Congrès révise
Twitter ne participera pas à ces opérations. Dick Costolo, PDG du site de micro-blogging a indiqué « la fermeture d'un site n'est pas la bonne réponse à cette problématique ». Plus tôt, il avait indiqué dans un tweet que « la fermeture d'une entreprise mondiale en réaction à une seule question de politique nationale était stupide ».
Samedi dernier, trois responsables de l'administration du président américain Barack Obama ont publié une déclaration qui semblait s'opposer aux lois SOPA et PIPA. Ils ont déclaré que « le piratage par des sites étrangers constitue un problème grave qui exige une réponse législative forte, mais l'administration ne soutient pas un cadre réglementaire qui réduit la liberté d'expression, augmente le risque en matière de cyber sécurité, ou porte atteinte à la dynamique et à l'innovation de l'Internet ». Jimmy Wales, cofondateur de Wikipedia, a averti sur Twitter que les rumeurs sur la mort de SOPA et PIPA sont peut-être prématurées. De son côté, un parlementaire américain, Lamar Smith, le principal artisan de SOPA et président de la Commission sur la Justice, a annoncé une session le mois prochain sur les différentes remarques faites sur ces lois.
(...)
1,5 million de tablettes écoulées en 2011 en France
2011 a été une année faste pour les tablettes en France avec des ventes qui ont été supérieures aux estimations du cabinet d'études GFK. Les ventes sont montées à 1,45 million d'exemplaires auprès des particuliers en 2011 selon Les Echos. C'est plus que les prévisions de ces distingués analystes, qui tablaient avant les fêtes de Noël sur un total de 1,2 million de ventes sur l'ensemble de l'année. Le parc de tablettes atteint désormais les deux millions d'appareils en circulation en France. (...)
(18/01/2012 11:00:16)Canal+ confie l'infogérance de son mainframe à Volvo IT
Présent sur les cinq continents, Canal+ est un groupe qui est éditeur de contenus au travers de sa chaîne de télévision historique, des chaînes du bouquet, des offres non-linéaires (VOD...), etc. Il a également des activités de distribution audiovisuelle, y compris de films de cinéma avec Studio Canal. Son activité de distribution grand public (abonnements aux chaînes) est actuellement gérée par un mainframe. Canal+ désirait accroître sa qualité de service et baisser ses coûts. A cette fin, l'entreprise lance un appel d'offres afin d'externaliser l'hébergement, l'exploitation et la maintenance de son mainframe.
En décembre 2010, Canal+ a choisi Volvo IT. Cette société, filiale des automobiles Volvo, gère avant tout l'informatique de sa maison mère et ses autres filiales mais vise également à mutualiser ses moyens, comme son parc mainframe, avec d'autres entreprises non-concurrentes. La culture de service en milieu industriel a été un critère essentiel du choix de ce prestataire. La bascule vers l'infogérance est effective en juin 2011 et est éprouvée dès l'automne suivant, période traditionnelle de forts volumes d'abonnements. Canal+ a été satisfait des niveaux de service atteints. Le contrat d'infogérance a été conclu pour trois ans minimum pour un coût non communiqué. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |