Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 1211 à 1220.
| < Les 10 documents précédents | Les 10 documents suivants > |
(23/12/2008 12:30:10)
Microsoft alerte sur une faille dans SQL Server
Hier soir, 22 décembre, Microsoft a indiqué qu'une faille pouvait être exploitée dans certaines versions de sa base de données SQL Server. Au nombre des versions concernées par ce problème, l'éditeur liste SQL Server 2000, 2005, 2005 Express Edition, SQL Server 2000 Desktop Engine (MSDE et WMSDE), et Windows Internal Database (WYukon). En revanche, les systèmes qui sont équipés de SQL Server 7.0 Service Pack 4, SQL Server 2005 Service Pack 3 et SQL Server 2008 ne sont pas touchés. Le code permettant d'exploiter cette défaillance a bien été publié sur Internet, mais aucune attaque n'a pour l'instant été signalée. Microsoft travaille avec ses partenaires à la résolution de cette vulnérabilité dans le cadre de ses programmes MAPP (Microsoft active protections program) et MSRA (Microsoft security response alliance). Trois bugs sérieux en un mois C'est le troisième bug d'importance débusqué ce mois-ci sur les produits de Microsoft. Il y a quelques jours à peine, l'éditeur a dû livrer un correctif d'urgence pour son navigateur Web Internet Explorer (IE). Au début de ce mois, il a également alerté sur une faille identifiée dans le convertisseur de son éditeur de texte WordPad permettant d'enregistrer les fichiers au format Word 97. Quatre Service Pack de Windows étaient concernés. Enfin, le fameux « patch Tuesday » du 9 décembre, dernier correctif programmé de l'année avait fourni un record de rustines : 40 Mo pour combler 28 failles, notamment dans Vista et IE. (...)
(19/12/2008 12:57:12)Aberdeen : il faut protéger les bases de données de l'intérieur
Alors que le périmètre extérieur des réseaux d'entreprises a été considérablement renforcé, la véritable menace aujourd'hui sur les bases de données (SGBD) vient de l'intérieur. Une étude d'Aberdeen Group auprès de 120 grandes entreprises a mis évidence le rapport proportionnellement inverse entre les brèches de sécurité et les mesures de sécurité interne. Mieux : les entreprises les plus vertueuses en matière de sécurité sont aussi celles qui savent gérer les environnements les plus complexes avec des coûts inférieurs. En s'appuyant sur une enquête déclarative et un certain nombre d'entretiens individuels, Aberdeen a recensé les meilleures pratiques en matière de sécurisation des données critiques. Le cabinet indique que selon les estimations des entreprises et des analystes, les SGBD stockent entre 62% et 90% des données critiques d'une société. Autant dire, conclut Aberdeen, que tous les oeufs sont dans le même panier. Il convient donc de choisir des paniers solides, de combler les trous dès qu'ils apparaissent, de surveiller la circulation du panier, de brouiller ou mélanger certains oeufs... En termes de conseils moins métaphoriques et plus technologiques, cela se traduit notamment par : - recourir aux mécanismes de sécurité inclus dans les SGBD : cryptage des données, gestion différenciée des rôles des DBA (de par la nature de leur travail, les administrateurs de bases de données représentent en effet la menace la plus importante), outils d'audit, etc. ; - utiliser un outil de supervision tiers (DAM, Database activity monitoring), qui enregistre les activités de toutes les bases et peut agir de façon automatisée en cas de violation d'une règle de sécurité (en émettant une alerte, en bloquant un utilisateur, etc.) ; - adopter une technique de « data masking », masquant la véritable nature des données, notamment lors de phases de développement et de test ;[[page]] - créer éventuellement des bases spécifiques (« database vaults ») pour le traitement de données ultra-sensibles (Aberdeen précise que de plus en plus d'entreprises recourent à cette méthode afin de pouvoir être conformes au nouveau standard de l'industrie des cartes bancaires, PCI DSS, Payment card industry data security standard) ; - adopter une technique de chiffrement préservant le format des données (utile lorsqu'une même données est partagée par plusieurs bases) ; - passer au « virtual patching » : un système tiers se charge de surveiller la publication de rustines par les éditeurs, et d'ériger un bouclier prenant en compte ces mises à jour de sécurité sans qu'il soit besoin d'arrêter la base et de tester toutes les dépendances applicatives. Toutefois, tout ne réside pas dans la technologie. Aberdeen met aussi l'accent sur : - Les processus. Avant de réfléchir aux techniques de sécurité, il faut réfléchir aux processus : quelles sont les données sensibles, à quel rythme faut-il pratiquer des audits, quelles règles de supervision faut-il mettre en place ? - L'organisation. Les entreprises aux SGBD les plus sûrs ont mis en place une équipe chargée de la sécurité, ainsi qu'une politique de formation. - La gestion des connaissances. Aberdeen place sous ce vocable les bonnes pratiques en matière de supervision humaine : savoir lire et interpréter les rapports d'audit, afin d'éditer des règles métier susceptibles de protéger les données sans handicaper le fonctionnement opérationnel des applications. (...)
(18/12/2008 11:26:04)Cisco trace à son tour un portrait alarmant de la sécurité des systèmes
Selon Cisco, numéro un mondial des réseaux, la sécurité des systèmes d'information continue de se dégrader. A fin octobre 2008, le nombre de failles avait augmenté de 11,5% en un an pour frôler le chiffre des 6 000. Patrick Peterson, responsable de recherches (« fellow et chief security researcher ») chez Cisco, se dit "choqué" par l'ampleur des menaces qui planent sur les systèmes d'information. Selon lui, elle dépasse les pires scénarios échafaudés. Le Web est, bien sûr, le principal moyen d'attaquer les systèmes. Cette année, les menaces dissimulées dans les sites a priori de bon aloi ont presque doublé. Dans le même temps, les attaques prennent des formes de plus en plus complexes, avec des biais multiples et sont de plus en plus ciblées. Et aucun domaine n'est à l'abri : les failles qui affectent les technologies de virtualisation ont presque triplé pour atteindre 103. Enfin, faut-il se réjouir de la diminution de moitié des attaques par pièces jointes entre 2005-2006 et 2007-2008 ? Cela semble plutôt être le signe que les cybercriminels font appel à des techniques plus sophistiquées. Les constatations de Patrick Peterson, mises en images sur YouTube, sont d'ailleurs en phase avec celle du rapport de Symantec sur la cybercriminalité. Celui-ci souligne que les criminels collaborent de plus en plus étroitement, créant ainsi une florissante économie souterraine. Cisco confirme aussi que les attaques visent désormais les applications secondaires, comme les add-on des navigateurs ou les logiciels comme Flash. Cela corrobore le diagnostic de Secunia que "98% des PC sous Windows sont exposés à des attaques" par le biais des "petites" applications, maintenant que Windows et les navigateurs disposent de modules de mise à jour automatique. (...)
(15/12/2008 12:45:08)Firefox et Flash en tête des applications classées les moins sûres pour les entreprises par Bit9
Entreprises, redoutez Firefox, Flash Player et VMware. Ces applications arrivent en effet en tête du top 12 des programmes les moins sûrs dans le cadre d'une utilisation professionnelle... d'après un classement établi par Bit9, spécialisé dans la confection de listes blanches d'applications et éditeur de Parity, un programme permettant la détection de code malveillant. Les douze applications recensées par Bit9 ont comme caractéristiques communes qu'elles fonctionnent sur Windows, sont populaires auprès du grand public et présentent au moins une faille critique depuis janvier 2008. Elles sont en outre souvent installées sur les postes de travail des salariés sans que le service informatique en ait connaissance ou puisse surveiller leur mise à jour. Elles constituent par conséquent, selon l'éditeur, les maillons faibles du SI, lequel étant dans l'impossibilité de déployer des correctifs de façon centralisée via les services Systems management server ou Windows Server Update Services de Microsoft, par exemple. Peu importe donc que les éditeurs des applications montrées du doigt par Bit9 mettent régulièrement en ligne des mises à jour pour leurs produits puisque l'installation de ces dernières ne repose que sur les utilisateurs - ce qui induit bien évidemment un biais dans le classement. Le top 12 des applications à redouter selon Bit9 1 - Mozilla Firefox 2 - Adobe Flash et Acrobat 3 - EMC VMware Player, Workstation et autres produits 4 - Sun Java Runtime Environment 5 - Apple QuickTime, Safari et iTunes 6 - Symantec Norton 7 - Trend Micro OfficeScan 8 - Citrix DNE, Access Gateway et Presentation Server 9 - Aurigma Image Uploader, Lycos FileUploader 10 - Skype 11 - Yahoo Assistant 12 - Microsoft Windows Live Messenger (...)
| < Les 10 documents précédents | Les 10 documents suivants > |