Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 1201 à 1210.
| < Les 10 documents précédents | Les 10 documents suivants > |
(15/01/2009 17:31:07)
L'UE donne le feu vert aux passeports biométriques
Les députés européens donnent leur feu vert à la mise en circulation des passeports biométriques. Hier, les élus du Parlement européen ont approuvé à une large majorité une réglementation autorisant l'inclusion d'un support de stockage numérique dans les passeports des ressortissants des 27 Etats membres. Une photographie et deux empreintes digitales y figureront. L'idée de créer des passeports biométriques s'est imposée après les attentats du 11 septembre 2001. Les partisans de l'apposition des empreintes digitales arguent que celles-ci contribueront à renforcer la sécurité aux frontières, en compliquant la tâche des personnes malintentionnées désireuses de voyager avec un titre falsifié ou volé. Mais cette nouvelle génération de passeports suscite également les craintes des tenants des libertés individuelles. Ils redoutent en premier lieu la création d'un fichier qui recenserait les empreintes digitales de toute la population. Ils s'effraient ensuite de ce que le recours à la biométrie ne produise les effets inverses de ce pour quoi il est pensé. « Il existe un risque que les policiers aux frontières se reposent trop sur la technologie aux dépens des techniques traditionnelles d'identification », explique ainsi le chercheur en sécurité Richard Clayton, de l'Université de Cambridge. Une inviolabilité qui reste à prouver « Avec les passeports actuels, les agents des frontières examinent attentivement les visages des voyageurs. Si, avec un passeport biométrique, la correspondance est établie entre les empreintes digitales stockées sur le document et celles de celui qui s'en prétend le titulaire, il existe alors un risque de voir les éléments 'humains' laissés de côté, comme le comportement des individus : semblent-ils agités, nerveux... », poursuit l'universitaire. Par ailleurs, ajoute-t-il, les empreintes digitales ne constituent pas un élément d'identification infaillible, et risquent donc de poser de sérieux problèmes en cas de faux positif. En 2004, après les attentats de Madrid, un juriste américain, Brandon Mayfield, avait fait les frais de ces erreurs potentielles : ses empreintes correspondaient à celles d'un terroriste suspecté. Il aura fallu attendre que la malheureuse coïncidence soit attestée pour que l'homme soit libéré de prison. En outre, les éléments numériques des passeports stockant des données biométriques ne semblent pas si infaillibles que leurs défenseurs l'affirment. Il n'est qu'à se pencher sur l'exemple des passeports britanniques : cet été, le quotidien The Times a démontré combien il était simple de modifier le contenu de la puce via un système conçu par un expert néerlandais. En ce qui concerne les enfants, les députés européens ont repoussé une proposition de la Commission. Les bambins de moins de douze ans n'auront donc pas l'obligation d'apposer leurs empreintes dactyloscopiques sur leur passeport. Ils ne pourront cependant plus figurer sur le document de leurs parents. Enfin, les personnes dépourvues de mains - et donc d'empreintes - ne seront pas tenues de posséder un passeport biométrique. Elles devront être munies de passeports provisoires, renouvelables tous les ans, si elles souhaitent voyager au-delà de l'espace Schengen. (...)
(13/01/2009 07:53:34)La NSA liste le top 25 des erreurs de programmation ouvrant des failles de sécurité
Ce sont des erreurs de programmation courantes, et elles ouvrent des failles de sécurité béantes dans les logiciels : la NSA (National security agency), agence fédérale américaine de sécurité, a mis en oeuvre un programme pour déterminer les 25 plus courantes. Ce top 25 se divise en trois catégories : les interactions non sécurisées entre composants (9 erreurs), une gestion hasardeuse des ressources (9 erreurs) et des défenses poreuses (7 erreurs). D'après les responsables du projet, deux seulement de ces erreurs ont provoqué en 2008 quelque 1,5 million de failles dans les sites Web, et se sont répercutées dans les PC visitant ces sites, les transformant en zombies. Le projet, initié par la NSA et la division cyber-sécurité du ministère américain de la Sécurité intérieure, a vu la collaboration de plusieurs instituts (Sans, Mitre, Secunia...) et éditeurs (Microsoft, Oracle, RSA, Symantec...). Le chef du projet explique que si les débats ont été parfois chauds, il y a eu un consensus plutôt large pour établir ce top 25 des erreurs de programmation les plus courantes ouvrant des failles de sécurité. Les agences fédérales américaines espèrent, en publiant la liste des erreurs et la façon de les empêcher, faire prendre conscience aux développeurs des conséquences en matière « de cyber-espionnage et de cyber-crime ». Car étonnamment, poursuit Bob Martin, du Mitre (organisme à but non lucratif travaillant à la sécurisation des systèmes gouvernementaux américains), « la plupart de ces erreurs ne sont pas bien connues des développeurs ; le moyen de les éviter peu enseigné par les écoles ; et leur présence rarement testée par les éditeurs de logiciels commerciaux ». (...)
(09/01/2009 16:59:05)41 rustines pour le Patch Tuesday à la mode Oracle
Oracle lancera mardi prochain sa première salve de rustines de l'année 2009. D'après le bulletin préliminaire de l'éditeur, ce Critical Patch Update (CPU) rassemblera pas moins de 41 mises à jour de sécurité « concernant des centaines de logiciels Oracles différents ». Plus de 15 d'entre elles concernent des failles pouvant être exploitées sans authentification préalable de l'utilisateur, ce qu'Oracle considère généralement comme un niveau de sévérité majeur. Neuf d'entre elles sont dans Oracle Secure Backup, deux dans Application Server et cinq dans la suite de produits BEA. Avec 41 rustines, cette première mise à jour trimestrielle pour 2009 se situe dans la lignée de la dernière de 2008 avec ses 36 patchs. Des chiffres relativement peu élevés comparés aux centaines de rustines délivrées chaque trimestre en 2006 par exemple. Pour autant, et malgré les incitations d'Oracle, les administrateurs sont plutôt réticents à installer ces rustines, ne voulant pas interrompre les machines pour elles et craignant qu'elles ne perturbent le fonctionnement d'applications souvent critiques pour l'entreprise. (...)
(08/01/2009 09:21:34)Explosion des pertes de données individuelles aux Etats-Unis
Aux Etats-Unis, 656 pertes de fichiers contenant des informations personnelles ont été répertoriées en 2008, selon l'Identity Theft Resource Center (ITRC). Ce type de dommages a augmenté de 47% par rapport à l'an dernier, selon cette association soutenue par le ministère américain de la Justice et qui regroupe divers organismes américains à but non lucratif. Dans près de 83% des cas, il s'agit de fichiers informatiques. Les 17% restants concernent des documents papier. Bien qu'en baisse par rapport à l'an dernier, la principale cause à l'origine de ces pertes demeure les erreurs des détenteurs (35,2%). Viennent ensuite, dans 30% des cas, les actes malfaisants (attaques de système, piratage et vol par le personnel). Par rapport à 2007, l'ITRC constate un doublement des vols par des salariés des entreprises victimes. Ces actes sont désormais à l'origine de 16% des cas de pertes annoncés. Précisons que le recensement de l'ITRC n'est rendu possible que par l'obligation légale qu'ont les entreprises américaines de déclarer leurs pertes de données. Il est impossible d'établir ce type de statistiques en France faute d'une telle législation qui contribuerait pourtant à traduire dans la réalité le souci affiché de renforcer la "confiance dans l'économie numérique". Le secteur privé, champion des pertes de données L'ampleur du phénomène est pourtant alarmante. Aux Etats-Unis, ce sont les données personnelles (identité, informations financières...) de plus de 35 millions d'individus qui se sont retrouvées dans la nature. Toutefois, ce chiffre est bien en deçà de la réalité, puisque l'ITRC n'a été en mesure de ne connaître le nombre de personnes concernées que dans moins d'un cas sur deux. Sans parler des pertes de fichiers qui n'ont pas été identifiées... L'analyse sectorielle des données de l'ITRC montre que, sur trois ans, le secteur privé n'a fait aucun progrès dans la protection des données personnelles, bien au contraire. En 2008, 36% des pertes ont été déclarées par des entreprises. En 2006, ce n'était que 21%. Même triste constat pour les institutions financières. Alors que leurs pertes de données ne représentaient que 8% du total en 2006, elles atteignent désormais 12%. A l'inverse, les pertes subies par le secteur public et celui de l'éducation sont passées de 30% à moins de 17%. (...)
(06/01/2009 17:07:33)Deux chercheurs mettent à l'épreuve la sécurité du vPro d'Intel
Rafal Wotjczuk et Joanna Rutkowska, deux chercheurs polonais des laboratoires d'Invisible Things, viennent de trouver une méthode pour s'attaquer à la plateforme de virtualisation sur processeur vPro d'Intel. Ils affirment avoir écrit un programme qui compromet l'intégrité de logiciels chargés via la fonction Trusted Execution Technology (TXT) implantée dans vPro. Or, le rôle même de cet outil est de protéger les logiciels installés dans une machine virtuelle, par exemple, en empêchant qu'ils ne soient visibles ou accessibles par les autres applications présentes sur la machine physique. L'attaque se déroule en deux étapes. Elle s'appuie d'abord sur une vulnérabilité du logiciel système d'Intel que les deux chercheurs ne souhaitent pas dévoiler publiquement avant qu'elle soit corrigée. Ensuite, le processus exploite un défaut de conception au sein de TXT. Ce dernier semble le point le plus difficile à éviter : « il n'est pas évident de dire la façon dont Intel devrait régler le problème exploité dans la seconde partie de notre attaque, insiste Joanna Rutkowska. Ils affirment pouvoir y arriver par une mise à jour des spécifications de TXT. » Les deux chercheurs présenteront leur découverte plus en détail lors de la prochaine conférence Black Hat sur la sécurité qui aura lieu du 16 au 19 février prochain à Washington. D'ici là, ils collaborent avec Intel pour trouver une solution et se veulent rassurants. La combinaison TXT/vPro n'est commercialisée que depuis un an et peu de programmes sont pour l'instant compatibles. Donc, peu d'ordinateurs sont susceptibles d'être compromis par cette attaque. En revanche, elle crée un précédent fâcheux pour la réputation de vPro et pourrait inciter d'autres hackers, peut être plus attirés par le profit que par l'exploit intellectuel, à s'y intéresser. (...)
(06/01/2009 16:06:25)Pour la Cnil, la RATP aime un peu trop les données personnelles
A quelques jours de l'arrêt définitif de la vente du coupon magnétique Carte Orange, la Cnil a procédé à une opération de test auprès de la RATP pour vérifier les possibilités de voyager anonymement. Et la Commission nationale de l'Informatique et des Libertés « constate que plusieurs incertitudes demeurent quant au respect, par la RATP, du droit de tous les usagers à la protection de leur vie privée et de leurs données personnelles ». Le « forfait mois » de la Carte Orange cessera d'exister le 20 janvier, et le « forfait semaine » le 30 janvier. Les usagers devront, s'ils souhaitent souscrire un abonnement, se tourner vers l'offre Navigo ou l'offre Navigo Découverte. Cette dernière, qui existe depuis septembre 2007, a été proposée par la RATP suite à un premier avis de la Cnil émis en 2004 : « Les usagers des transports publics ont le droit de voyager, de manière anonyme, sans avoir à payer un surcoût par rapport à ceux ayant choisi le passe nominatif 'Navigo'. En effet, dans le passe 'Navigo', les données de validation (dates, heure et lieu de passage) sont associées au numéro d'abonné ce qui le rend nominatif. Les données sont conservées durant 48 heures à des fins de lutte contre la fraude. » Le Stif (Syndicat des transports d'Ile-de-France) et la RATP avaient donc fait un geste, en proposant 'Navigo Découverte', un passe accompagné d'une carte nominative avec photo, mais, souligne la Cnil, « dont les données de validation ne sont pas associées à un numéro d'abonné (ce qui le rend anonyme) ». L'argument technique pour exclure les bénéficiaires de la tarification « solidarité transport » ne tient pas Toutefois, ce passe anonyme est soumis à un paiement forfaitaire de 5 euros alors que le Navigo est gratuit pour les Franciliens, et il n'est pas remplacé en cas de perte ou de vol alors que le Navigo l'est. En outre, la variante anonyme de ce titre de transport n'est pas franchement mise en avant dans la documentation de la RATP ou aux guichets. Désirant s'assurer de la mise en place concrète du dispositif, « la Cnil a procédé une opération de 'testing' auprès de 20 stations du métro parisien ». Afin de peser davantage sur les décisions de la RATP, la Cnil a décidé de rendre ses conclusions publiques : « Il en résulte que les conditions d'information et d'obtention du passe 'Navigo découverte' sont particulièrement médiocres, voire dissuasives (manque de sensibilisation du personnel concernant la vente de ce passe, absence régulière de documentation commerciale et difficultés pratiques à l'obtenir au guichet). » La Cnil souligne en outre que la RATP se cache derrière un argument technique qui n'a pas lieu d'être quand elle prétend avoir besoin des données personnelles des bénéficiaires de la tarification « solidarité transport » applicable aux titulaires du RMI ou de l'allocation spécifique de solidarité. L'organisme dit avoir reçu plusieurs plaintes : « Ces derniers protestaient contre la décision du STIF de leur imposer de souscrire au seul passe nominatif 'Navigo', donc à l'exclusion du passe 'Navigo découverte' anonyme, pour bénéficier de la tarification spéciale. La CNIL considère pourtant que rien ne justifie, sur le plan technique, une telle exigence. » (...)
| < Les 10 documents précédents | Les 10 documents suivants > |