Flux RSS
108538 documents trouvés, affichage des résultats 4401 à 4410.
| < Les 10 documents précédents | Les 10 documents suivants > |
(31/03/2011 15:10:29)
« Houston, nous avons un problème... » : Les systèmes de la NASA vulnérables
Comment une agence capable d'envoyer un homme sur la lune peut-elle être aussi négligente pour protéger ses serveurs ? Le rapport publié à la suite de l'audit et intitulé «Des mesures de sécurité insuffisantes exposent le principal réseau de la NASA à une cyber attaque » est aussi embarrassant que préoccupant. Surtout, il est révélateur de la question plus générale de la sécurité des réseaux au sein des entreprises. Car si RSA, sur laquelle repose l'authentification sécurisée au sein des réseaux de nombreuses entreprises, si Comodo, qui sécurise les sites web avec des certificats SSL cryptés, et si la NASA, l'une des principales agences du gouvernement des États-Unis qui doit protéger des données cruciales et confidentielles, ne sont pas en mesure de verrouiller leurs systèmes, les administrateurs informatiques d'entreprises de taille moyenne sont en droit de se demander ce qu'ils peuvent faire.
Plusieurs spécialistes de la sécurité ont été sollicités pour donner leur avis sur le rapport de la NASA. Ainsi, selon Tim Keanini «TK», CTO de nCircle, la sécurité est une procédure, et apparemment la NASA ne s'est pas employée à en affiner les contours. « La bonne exécution d'une procédure dans un domaine donné est une chose et la sécurité en est une autre, même pour des entreprises qui ont la parfaite maîtrise de certains processus. Ce n'est pas une excuse, c'est juste une réalité, » a t-il commenté. « Je suis certain que si la NASA gérait la sécurité de son système informatique avec le même niveau d'exigence qu'elle le fait pour ses missions, cette situation ne se produirait pas et nous aurions beaucoup à apprendre de ses méthodes. »
Pour Anup Ghosh, fondateur et directeur scientifique d'Invincea, des événements comme les attaques récentes menées contre HBGary, RSA, et Comodo, auxquelles s'ajoute ce rapport de la NASA, pourraient conduire les administrateurs des services informatiques à se dire : « Si cela se produit dans ces entreprises, que peut-il nous arriver ? » Mais, selon lui, la meilleure question serait: « Si cela se produit pour des entreprises très sécurisées, cela veut dire que ça arrive partout dans le monde ? » Anup Ghosh pense que la réponse à cette question est sans doute « oui ». Et il explique : « Si vous regardez n'importe quel réseau à la loupe, vous allez trouver des problèmes. Donc le problème de la sécurité ne concerne pas que la NASA, mais l'ensemble des réseaux. Si l'audit n'avait pas mentionné de difficultés, il y aurait eu lieu de s'interroger sur sa validité. Plus important encore, la réponse de la NASA, du Gouvernement, de l'industrie ne devrait pas se réduire uniquement à proposer plus de cycles de mise à jour. La bonne réponse serait plutôt de modifier l'architecture des réseaux, des serveurs et des postes de travail pour leur permettre de résister aux attaques. »
Des risques à relativiser et à préciser
Randy Abrams, directeur de l'enseignement technique chez ESET, appelle à la prudence face à cette affirmation selon laquelle la vulnérabilité des systèmes de la NASA pourrait mettre en danger les missions de la navette spatiale, ou rendre la Station spatiale internationale inopérante, une appréciation faite « davantage pour les gros titres, mais pas vraiment le risque principal, » selon lui. Les pirates s'infiltrant dans les serveurs de la NASA sont plus intéressés à s'emparer de données sensibles et sur une durée la plus longue possible - comme des données relatives au vol furtif hors de portée des radars, par exemple. Des attaques contre une mission de la navette spatiale leur procurerait peu de bénéfices, et serait aussi moins lucrative. Pour Randy Abrams, « c'est trop facile d'exagérer une menace en parlant de crash de la navette ou d'immobilisation de la station spatiale alors que le risque réel concerne plutôt la protection des données classifiées et des systèmes du Gouvernement. »
Oliver Lavery, directeur de recherche sur la sécurité et le développement de nCircle fait un bon résumé de la situation. Celui-ci explique que, aujourd'hui, les entreprises sont confrontées au défi de sécuriser un réseau de plus en plus diversifié et impalpable, et de protéger une quantité colossale et sans cesse croissante de données. Il explique que « la vulnérabilité du programme de sécurité n'est sans doute ici pas liée à un élément technique, mais plus probablement à l'insuffisance de la modélisation des menaces, de la hiérarchisation des évènements, et du processus d'évaluation. » Selon lui, « le vrai défi pour les grosses entreprises est de faire en sorte que les investissements consacrés à la sécurité soient justifiés et efficaces. »
Donc, Houston, nous avons, bien un problème. Mais, pas de panique. Évitez le sensationnalisme en agitant le spectre d'attaques terroristes contre des missions de la navette, et concentrez-vous sur les véritables enjeux qui ne figurent pas dans le rapport d'audit de la NASA. Ce que nous pouvons apprendre de la NASA, c'est que la sécurité est un processus, et non un événement, et que les entreprises doivent être aussi diligentes que possible pour identifier et résoudre - au minimum atténuer - de manière proactive ce qui expose leurs réseaux à un risque.
Microsoft porte plainte contre Google auprès de la Commission européenne
« Microsoft dépose une plainte formelle auprès de la Commission européenne, dans le cadre de l'enquête en cours de la Commission pour savoir si Google a violé le droit européen de la concurrence » indique Brad Smith, vice-président de Microsoft sur son blog. La firme de Redmond rejoint ainsi quatre autres sociétés qui ont aussi déposé plainte. Il s'agit de Foundem.co.uk, un comparateur de prix sur internet basé au Royaume-Uni, ejustice.fr, site français spécialisé dans le droit et de Ciao.de, un moteur de recherche allemand, récemment acquis par Microsoft. A ce trio, il faut ajouter la société 1plusV qui a déposé plainte plus récemment. Lors du dépôt des premiers dossiers, Google soupçonnait Microsoft d'être derrière ces actions. La démarche actuelle de la firme de Redmond lève l'ambiguïté et apportera probablement un peu plus de transparence au débat.
L'affaire suit son cours
Comme à son habitude la Commission européenne va « analyser la recevabilité de la plainte de Microsoft et se tourner vers Google pour lui demander de s'exprimer dessus » a indiqué la porte-parole de la Commission pour les questions de concurrence, Amelia Torres. Il y a quelques semaines, l'institution communautaire avait envoyé des questionnaires aux annonceurs, éditeurs, propriétaires de sites web et moteurs de recherche rivaux, pour demander leur avis sur les pratiques commerciales de l'éditeur. Le formulaire contenait près de 100 questions pour déterminer si l'algorithme de Google pénalisait injustement les concurrents.
Le géant de la recherche sur Internet a réitéré son intention de travailler avec les services de la Commission et d'expliquer son métier et ses méthodes.
Le ministère de la santé alerte sur une tentative de phishing
Le ministère du Travail, de l'Emploi et de la Santé avertit les internautes français d'une tentative d'escroquerie en ligne en son nom, a-t-il indiqué mercredi 30 mars. Sous forme d'hameçonnage, la fraude se traduit par un e-mail de demande de vérification émanant du ministère avec nécessité de fournir ses numéros de carte vitale et de carte bancaire.
Le ministère du Travail, de l'Emploi et de la Santé rappelle qu'il ne demande en aucun cas de telles données aux internautes français.
De son nom anglais phishing, l'hameçonnage cherche à obtenir par la ruse des données personnelles pour une future usurpation d'identité.
(...)(31/03/2011 13:24:29)La FTC va surveiller Google pendant 20 ans sur la vie privée
La firme de Moutain View a accepté de se soumettre à des conditions assez sévères émanant de la FTC, l'organisme de régulation américain, après le lancement de Google Buzz. Lancé en grandes pompes en février 2010, le réseau social avait fait l'objet de milliers de plaintes d'internautes. Il a été déployé auprès des utilisateurs de la messagerie Gmail, mais l'option permettant de refuser de s'inscrire sur Buzz n'était pas opérationnelle. Les nombreux internautes qui avaient choisi de ne pas rejoindre le réseau social s'y trouvaient donc inscrits, quoiqu'ils fassent. Ceux qui avaient pris le train en marche ignoraient que leurs données personnelles puissent être partagées ou exposées aux yeux d'autres utilisateurs. La politique de confidentialité de Google au moment du lancement de Buzz était la suivante : «Lorsque vous vous inscrivez à un service particulier qui nécessite une inscription, nous vous demandons de fournir des renseignements personnels. Si nous utilisons ces informations d'une manière différente que celle pour laquelle elles ont été collectées, nous vous demanderons votre consentement avant de les utiliser ».
Des pratiques frauduleuses violant la vie privée
La FTC reproche donc à Google d'avoir violé cette politique de confidentialité en utilisant les informations fournies pour Gmail à une autre fin. Le régulateur a également noté, - en dépit de la présence d'options permettant de ne pas s'inscrire sur Buzz, ou de le désactiver après s'y être inscrit - que Google a induit en erreur les utilisateurs en usant de pratiques frauduleuses qui ont violé leur vie privée.
La FTC a donc exigé que Google mette en oeuvre un programme de protection des renseignements personnels complets. Elle demande à ce que la firme de Moutain View se soumette tous les deux ans à un audit indépendant de ses pratiques en matière de confidentialité et ce pendant 20 ans. « Lorsque les entreprises font des promesses de confidentialité, elles doivent honorer leurs engagements », a déclaré Jon Leibowitz, président de la FTC, dans un communiqué annonçant l'accord sur Google Buzz. « C'est un règlement très contraignant qui garantit que Google fournira une protection forte pour la confidentialité des internautes, dans toutes ses opérations. »
Le régulateur rendra les termes de l'accord sur Google à la disposition du public, et ce texte sera soumis à consultation jusqu'au 1er mai.
(...)
Android Market : Google lance son service de paiement In-App pour la vente de contenu
Ces derniers peuvent ainsi vendre une grande variété de contenus, des fichiers multimédias ou des photos, mais aussi du contenu virtuel pour leurs applications, comme des mises à jours, des niveaux de jeu ou des options additionnelles type add-ons. Les utilisateurs peuvent effecteur leur paiement selon les modalités actuelles. Google prélève 30% sur ce type de vente, soit l'équivalent des frais appliqués pour les applications.
Selon un document publié sur le site des développeurs Android, le SDK intègre maintenant un exemple qui montre aux développeurs comment intégrer ce mode de facturation dans leurs applications. L'Android Market est considéré par beaucoup comme le maillon faible de l'écosystème Android. Il a d'ailleurs laissé un espace à la concurrence, incitant Amazon à lancer son propre Appstore pour vendre des applications Android.
Un enrichissement progressif de l'offre Android Market
Mais depuis les six derniers mois, Google s'emploie à rendre le marché plus concurrentiel, et à améliorer l'expérience aussi bien des développeurs que des utilisateurs sur sa plate-forme. Google a, par exemple, élargi le nombre de pays à partir desquels on peut acheter et payer les applications. L'entreprise a également mis à jour son client Market, la version navigateur de sa boutique, et lance aujourd'hui son service In-App Billing. « Chaque amélioration constitue une étape supplémentaire dans la bonne direction et nous avons vraiment l'intention d'en tirer profit, » a déclaré Eric Wijngaard, l'auteur de l'outil de retouche photo PicSay. Grâce au service de facturation intégré à l'application, Shinycore, l'entreprise de Eric Wijngaard, pourra vendre des filtres spéciaux, des packs de sticker et des thèmes aux utilisateurs de PicSay qui souhaitent disposer de plus de fonctionnalités pour l'application.
Selon Paolo Pescatore, analyste chez CCS Insight, « tous les concurrents se positionnent par rapport à l'App Store, et à l'offre de la boutique en ligne d'Apple, notamment le paiement in-app, devenu une condition préalable pour tous les autres. » En outre, « davantage de développeurs se tournent vers un modèle économique dans lequel l'application est gratuite, et où ils gagnent de l'argent en vendant du contenu pour leur application, » a-t-il ajouté. Reste que, selon Eric Wijngaard, Google a encore du travail à faire pour améliorer sa plate-forme. « L'entreprise doit notamment travailler sur l'expérience d'achat en élargissant ces méthodes de paiement pour rendre son service accessible à plus de personnes à travers le monde. » Pour Paolo Pescatore, « pour Google, la prochaine étape logique serait d'étendre le paiement sur facture opérateur ou operator billing à plus de pays et d'opérateurs, » estime-t-il.
(...)(31/03/2011 11:22:57)
Les tablettes vont dynamiser les dépenses IT selon le Gartner
Le cabinet Gartner étudie de plus près l'impact des tablettes médias sur l'industrie IT. Son verdict ? Elles représentent une dépense mondiale de 29,4 milliards de dollars en 2011, 9,6 milliards de plus qu'en 2010. Ces dépenses mondiales en tablettes média devraient augmenter en moyenne de 52% par an, jusqu'en 2015.
Sans ces tablettes, le Gartner aurait ajusté ses prévisions à la baisse en matière de croissance du marché. Il prévoit désormais un marché de la dépense IT de 3,6 milliards de milliards de dollars, contre 3,4 prévus initialement, soit une croissance de 5,6% contre 5,1% anticipés auparavant. La croissance du hardware serait de 9,5% en 2011 (avec les tablettes). (...)
| < Les 10 documents précédents | Les 10 documents suivants > |