Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 1191 à 1200.
| < Les 10 documents précédents | Les 10 documents suivants > |
(29/01/2009 16:41:41)
La crise augmenterait les risques pesant sur la sécurité des entreprises
La crise ne doit pas inciter les entreprises à amoindrir leurs efforts en matière de sécurité. Ce qui s'apparente à une banalité vient de McAfee, un éditeur spécialiste dans... la sécurité. Le groupe étaye néanmoins sa recommandation d'une étude conduite par l'Université américaine de Purdue auprès de 800 DSI du monde entier. Ces travaux doivent être présentés à l'occasion du Forum économique de Davos. Les responsables interrogées estiment que la crise qui affecte l'économie mondiale accroit les risques pesant sur la sécurité informatique des entreprises. Les réductions de coûts et licenciements en nombre, que les groupes multiplient pour répondre au marasme économique, contribueraient à affaiblir les mesures de sécurité mises en place. Et inciteraient les criminels à multiplier les initiatives visant à dérober des données sensibles. Si le recours croissant à l'externalisation est un autre facteur de risque, la menace ne vient pas forcément de l'extérieur. Ainsi, pour 42% des participants, les salariés licenciés représentent la principale menace de vol de données. Un autre dommage collatéral de la crise... Les auteurs de l'étude estiment que la valeur des atteintes à la propriété intellectuelle des entreprises et les sommes nécessaires à renforcer le système informatique pour que les failles soient comblées ont représenté un total de 1 000 Md$ en 2008 dans le monde. Les obligations légales en termes de sécurité et de respect de la propriété intellectuelle sont autant de facteurs différenciant les régions du monde et, surtout, la perception que les uns ont des autres. Ainsi, le quart des personnes interrogées estime qu'il est risqué de stocker des données en Chine. Les Chinois, eux, sont 47% à considérer que la dernière chose à faire serait d'aller entreposer des données sensibles aux Etats-Unis... (...)
(29/01/2009 08:43:30)Le labo commun Microsoft-Inria expose ses projets
Deux ans après l'inauguration du laboratoire commun entre l'Inria et Microsoft, c'est un Bernard Ourghanlian (directeur technique et sécurité de Microsoft France) « content, et même plutôt impressionné » par les résultats obtenus, qui présente les projets menés conjointement par les chercheurs des deux entités. Toute une journée a été consacrée à l'événement hier, 28 janvier, à l'Ecole polytechnique. Dans la salle, « 200 personnes, essentiellement des chercheurs, venus du monde entier », précise Bernard Ourghanlian. Un rapport scientifique décrivant l'activité du centre de recherches commun sera présenté courant février. En attendant, cette journée a été l'occasion d'aborder les 7 projets sur lesquels travaillent les chercheurs depuis janvier 2007 (et parfois avant, certains liens ayant été établis longtemps auparavant). Les travaux sont répartis en deux thèmes: « la sécurité et la fiabilité du logiciel d'une part, les interactions entre l'informatique et les autres sciences d'autre part ». Dans tous les cas, précise Bernard Ourghanlian, « ce sont les ingénieurs de recherche qui choisissent les sujets sur lesquels ils vont travailler ». Dans le premier thème, il s'agit d'appliquer les mathématiques pour améliorer la sécurité et la fiabilité des logiciels. Trois projets sont regroupés sous cette ombrelle. Parmi eux, le recours à des programmes informatiques pour prouver des théorèmes mathématiques. La démonstration du théorème sur lequel travaille l'équipe d'une dizaine de chercheurs « tient sur 400 articles et 10 000 pages », explique Bernard Ourghanlian. Et encore, dit-il, « il n'est prouvé que parce qu'il a été lu par des pairs mathématiciens, qui l'ont déclaré correct avec une certitude de 99% ». Le projet vise à créer une bibliothèque de preuves élémentaires qu'un logiciel pourra utiliser pour obtenir une preuve parfaite. « Et inversement, on pourra utiliser les mathématiques pour prouver qu'un logiciel est correct. » A l'heure actuelle, seuls les projets informatiques où la sécurité des personnes est en jeu (gestion du trafic du métro, informatique embarquée dans les avions ou les voitures, gestion opérationnelle des centrales nucléaires, etc.) se permettent de prendre le temps de recourir à des méthodes formelles pour s'assurer de la fiabilité des logiciels. Apporter des preuves formelles de sécurité dans un environnement distribué Toujours dans le thème de « l'informatique de confiance » cher à Microsoft (qui s'échine ainsi à faire oublier ses failles de sécurité et autres bugs à répétition), le deuxième projet a pour but, dans une architecture distribuée, d'apporter des preuves formelles de sécurité. Qui permettront par exemple de prouver qu'une machine n'est pas sûre, ou au contraire qu'un protocole de sécurité est bien respecté. « Quand je suis connecté au site de ma banque, prend comme exemple Bernard Ourghanlian, je veux être certain que c'est bien le site de ma banque. Et réciproquement, ma banque veut être sûr que c'est bien moi. Ce n'est pas toujours simple. » Dans le troisième projet tombant dans cette catégorie, il s'agit de recourir à une méthode (TLA, Temporal logic of actions) et à un langage (TLA+) pour s'assurer que ce qui est obtenu à partir d'un modèle est bien ce qui était voulu au départ. L'idée, expliquent les auteurs du projet, est de pouvoir « attraper les bugs dans un algorithme ou la modélisation d'un système avant même qu'il ne soit implémenté ». Un dictionnaire mathématique en ligne et des interfaces homme/machine pour les scientifiques [[page]] Le deuxième thème de recherches, dont l'ambition est de mettre l'informatique au service des scientifiques, comporte quatre projets. Le premier vise à créer une sorte de dictionnaire dynamique de fonctions mathématiques, « de façon, explique Bernard Ourghanlian, à ce que les physiciens disposent d'une fonction de génération automatique de fonctions mathématiques, au travers d'une interface Web, avec la possibilité de modifier les paramètres et les variables d'une manière graphique ». Un premier prototype est d'ailleurs opérationnel. Un autre projet, nommé Reactivity, s'intéresse aux interfaces homme/machine, et plus précisément à la manière dont un scientifique peut utiliser un outil informatique pour prendre ses notes et stocker ses informations, de façon à pouvoir ensuite les réorganiser et fouiller dedans. Les buts du projet sont aussi bien de pouvoir « capturer l'activité de l'utilisateur » que de lui permettre « d'interagir avec ses activités passées ». La programmation par contraintes pour optimiser les algorithmes Le projet de recherches combinatoires pour les e-sciences espère de son côté parvenir à des algorithmes d'optimisation capables de s'adapter aux problèmes combinatoires les plus complexes. Les 'solveurs' actuels, indiquent les responsables du projet, ne savent pas prendre en compte la complexité croissante des projets scientifiques. L'équipe travaille donc à optimiser ces outils avec de la programmation par contrainte. Bernard Ourghanlian souligne à ce propos qu'un module développé dans le cadre de ce projet, par Youssef Hamadi, sera intégré à la prochaine version de MS Project, qui doit justement aider les gestionnaires de projet à jongler avec les contraintes de ressources, de tâches, de budget, de temps... Le dernier projet vise à inventer des systèmes de modélisation permettant de fouiller dans les images et les vidéos, et d'en tirer des informations. Il avait déjà été en partie présenté lors des TechDays de Microsoft France, en février 2008. Si Microsoft ne veut toujours pas dire combien il a investi exactement dans ce partenariat avec l'Inria (l'éditeur prenant en fait à sa charge la moitié des quelque 50 personnes du centre de recherches), Bernard Ourghanlian répète que ce type de recherches fondamentales est un investissement à long terme, et qu'en tant que tel, il n'est pas touché par un quelconque plan de réduction des coûts. Et en attendant les applications concrètes, 7 modules logiciels sont prêts et proposés au public en Open Source. (...)
(27/01/2009 14:50:52)Des rustines pour le Cisco Security Manager et l'Unified Communications Manager
Cisco annonce deux rustines pour des failles qui menacent son environnement. La première, qui concerne sa console Security Manager (à l'exception de la version 3.2.2), est notée 8,8/10 selon le CVSS 2.0 (Common Vulnerability Scoring System). Cette faille laisse des ports ouverts après l'utilisation d'une application IEV et permet un accès à sa base SQL sous-jacente ou au serveur IEV. La seconde, créditée d'un 6,4/10, vise Unified Communications Manager et permet l'exécution de code. (...)
(21/01/2009 16:12:13)La Cnil place le Stic au banc des accusés
Données incomplètes, informations erronées, fichages injustifiés... Les conclusions de l'enquête menée par la Cnil sur le Stic (Système de traitement des infractions constatées) sont inquiétantes. Ce fichier de police judiciaire géré par le ministère de l'Intérieur a vocation à recenser les infractions afin d'aider le travail des enquêteurs. Il contient des fiches concernant 5,5 millions de personnes mises en cause, 28,3 millions de victimes et 36,4 millions de procédures. Les 100 000 agents de police qui y ont accès le consultent 20 millions de fois chaque année. Devant tant de données sensibles, il paraît affligeant que le taux d'erreurs relevé par la Cnil soit considéré comme « sidérant » par l'autorité administrative. De fait, seules 17% des fiches sont exactes et contiennent des informations à jour. Cette « absence quasi systématique de mise à jour » serait essentiellement imputable au parquet, qui ne renseigne les traitements sans suite que dans 21,5% des cas. Pire, seules 6,8% des relaxes sont mentionnées dans le fichier, et moins de 0,5% des non lieu. Ainsi, un individu peut-il apparaître comme étant mis en cause dans une affaire alors même qu'il a été déclaré innocent par un tribunal. Des conséquences sociales considérables Cet état de fait est d'autant plus fâcheux que le Stic est utilisé dans le cadre d'enquêtes administratives, menées pour des recrutements dans les secteurs de la sécurité, de la magistrature, ou pour des emplois aéroportuaires. En résultent des pertes d'emplois ou des refus de recrutement injustifiés, uniquement dus à l'inexactitude des données figurant au fichier. Plus d'un million d'emplois sont concernés, ce qui incite Alex Türk, le président de la Cnil à déplorer des « conséquences sociales considérables ». S'ajoutent à ces dysfonctionnements un « manque de rigueur dans la gestion des habilitations et les attributions de mots de passe » par les policiers chargés de consulter et d'alimenter le fichier, et de fréquentes erreurs de saisie. Pour tenter d'endiguer ces dérives, la Cnil formule onze propositions, allant de la mise en place d'une procédure pour sécuriser les opérations de saisies à l'obligation de respecter les durées de conservation des informations. (...)
(16/01/2009 17:08:40)L'édifiant portrait de Marc L, fruit de ses traces numériques
C'est un exercice original et inquiétant auquel se sont livrés les journalistes du Tigre, un bimestriel présenté comme un « curieux magazine curieux ». L'idée : dresser le portrait d'un parfait inconnu à partir d'informations glanées sur le Web. Le sujet - ou plutôt la victime - de ce portait Google est Marc L, un architecte d'intérieur de 29 ans habitant dans l'ouest de la France, utilisateur de réseaux sociaux et autres outils du web 2.0. Des instruments pratiques pour rester en contact avec ses amis mais néanmoins redoutables : en y éparpillant des morceaux de vie privée, les internautes s'exposent à être dépossédés de leur identité numérique. En témoigne ce portrait « violemment impudique » de Marc L, écrit « pour la bonne cause » avec une pointe de sarcasme : « après tout, c'est de ta faute, tu n'avais qu'à faire attention. » L'enquête sur la vie de Marc L débute à partir de quelques photos trouvées sur Flickr. En explorant les quelque 17 000 clichés mis en ligne par le jeune homme, on retrace ses voyages et découvre ses fréquentations et ses centres d'intérêt : séjour au Canada avec Helena et Jose en 2008, groupe de musique monté à la fin des années 1990 puis abandonné en 2002, retrouvailles avec Dom pour la fête de la musique en 2008. « Dom, c'est Dominique F., il est thésard à Bordeaux III », précise le Tigre. Un passage sur Facebook nous apprend que Marc L est hétérosexuel, qu'il a fréquenté Jennifer, puis Claudia, dont les parents vivent boulevard V, à Bordeaux. Claudia travaille avec Lukas au Centre culturel franco-autrichien de la préfecture de Gironde. Les trois amis se voient régulièrement, pour jouer à la pétanque à Arcachon ou « fêter les sous de la CAF », comme le 31 mai dernier. L'histoire avec Jennifer avait duré deux ans. En 2006, les amoureux sont partis en vacances en Bretagne. « Tu avais les cheveux courts à l'époque, ça t'allait moins bien. » La suite de l'article du Tigre regorge de détails sur la vie privée de Marc, que n'importe quel internaute curieux aurait pu dénicher en fouinant sur Google, Youtube, Pagesjaunes, les sites des journaux régionaux, etc. Ce qui est valable pour Marc l'est évidemment pour une multitude d'individus : si certains prennent grand soin de ne pas diffuser des informations personnelles, la plupart se laissent séduire par les outils qu'ils utilisent et éparpillent des pans de leur existence de ci, de là, sans avoir conscience de la facilité avec laquelle il est possible de rassembler les pièces du puzzle. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |