Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 1301 à 1310.
| < Les 10 documents précédents | Les 10 documents suivants > |
(12/08/2008 11:36:49)
Les passeports électroniques britanniques encore une fois compromis
Et de trois. Après un premier essai relaté par le Guardian en 2006, puis un test réalisé en mars 2007 par le Daily Mail, The Times vient encore une fois démontrer que les promesses d'inviolabilité formulées par le gouvernement britannique à l'égard de son nouveau passeport électronique sont quelque peu exagérées. Le quotidien anglais a demandé à un expert en sécurité de l'Université d'Amsterdam, Jeroen van Beek, de vérifier les assertions du gouvernement. Se basant sur un ensemble de travaux réalisés dans plusieurs pays, Jeroen van Beek a conçu un système capable de lire, de cloner et de modifier les puces incluses dans les passeports électroniques. Et cela de façon indétectable : le passeport avec sa puce modifiée est apparu tout à fait normal aux yeux du Golden Reader, le système de lecture utilisé par l'Aviation civile internationale. Pour les besoins de la démonstration, le chercheur a, en duo avec l'expert en sécurité Adam Laurie, modifié le passeport du petit garçon de ce dernier en remplaçant sa photo par celle d'Osama Ben Laden (il fallait que ce soit énorme, pour ne pas être accusé de vouloir tromper les autorités). Adam Laurie avait déjà démontré en 2006 qu'il était très simple d'accéder aux informations personnelles contenues dans la puce, la clé de lecture étant calculée à partir d'éléments très faciles à trouver, et les informations stockées n'étant pas cryptées. The Times se fait un malin plaisir de souligner que la semaine précédente, 3 000 passeports électroniques vierges avaient été volés. Le gouvernement britannique avait alors assuré que ces derniers étaient sans valeur... puisque protégés par l'inviolabilité de leur puce. (...)
(11/08/2008 12:00:03)Microsoft informera désormais ses partenaires en amont pour contrer les hackers
Afin de réduire la divulgation des « codes d'exploit » (procédures d'exploitation des failles) liés à ses correctifs de sécurité, Microsoft va modifier en octobre prochain la diffusion de son programme de protection mensuel, le fameux Patch Tuesday, par lequel il livre chaque deuxième mardi du mois des rustines pour ses logiciels. Désormais, les partenaires participant à son programme MAPP (Microsoft Active Protections) disposeront d'informations sur les correctifs avant leur livraison publique. Microsoft cherche ainsi à enrayer le cycle parallèle qui a été mis en place par des hackers rivalisant de rapidité pour diffuser du code malicieux dès l'arrivée des correctifs du Patch Tuesday. Steve Adegbite, l'un des experts sécurité de Microsoft, a donné en exemple le cas de hackers qui, en avril dernier, ont posté un « code d'exploit » pour une faille citée dans une alerte de sécurité (MS08-025), deux heures à peine après la diffusion de celle-ci. Or, c'est une tendance qui se développe ces derniers temps. D'où la mise en place du programme MAPP. Identifier aussi les failles des autres éditeurs En complément, l'éditeur annonce la création d'un nouvel « Exploitability Index », qui s'appuiera sur les informations fournies par ses clients. Cet index renseignera sur la probabilité de voir se développer un « exploit fonctionnel » sur une faille identifiée dans un bulletin de sécurité. Enfin, la division de Microsoft chargée de la recherche sur les vulnérabilités va commencer à identifier les failles détectées dans les logiciels d'autres éditeurs développant des produits pour Windows. Katie Moussouris, expert sécurité chez Microsoft, a confirmé qu'il arrivait souvent que des chercheurs contactent Microsoft en le pensant concerné par un problème logiciel qui était en fait lié à un autre produit (un plug-in par exemple). (...)
(08/08/2008 18:16:23)Black Hat : les Google Gadgets possibles vecteurs d'attaque
Voilà un rude coup porté aux amateurs de gadgets, notamment ceux que l'on peut utiliser dans l'univers de Google. Lors de la conférence Black Hat de Las Vegas (02-07 août), le fondateur du cabinet de conseil SecTheory, spécialisé sur la sécurité informatique, a expliqué mercredi dernier que ces mini-applications interactives (horloge, bloc-notes...), à placer sur le bureau de l'utilisateur, pouvaient servir de porte d'entrée pour une attaque. Selon Robert Hansen, également connu sous le nom de RSnake, un pirate peut, dans certains cas de figures, forcer l'installation de Google Gadgets et, dès lors, par l'intermédiaire d'une appliquette malveillante, accéder à l'historique des recherches effectuées sur Google par sa victime, récupérer ses noms d'utilisateur et mots de passe, ou encore, attaquer d'autres gadgets. Toujours selon le consultant, il n'y a guère de limites aux nuisances encourues quand le navigateur est passé sous le contrôle du pirate. Le fait que les internautes aient toute confiance en Google accroît encore le risque. Pour Robert Hansen, les plus exposés sont notamment les utilisateurs de Gmail, le recours à la messagerie en ligne les amenant à rester connectés. (...)
(08/08/2008 10:32:28)Oracle corrige une faille majeure concernant WebLogic Server et Express
Oracle vient de fournir un correctif d'urgence pour remédier à une faille qui l'a conduit à diffuser une alerte de sécurité la semaine dernière. L'éditeur précise aux administrateurs qu'ils doivent mettre en oeuvre ce patch plutôt que la procédure de contournement qu'il avait précédemment recommandée. La faille a été trouvée dans le plug-in Apache destiné aux serveurs d'applications Oracle WebLogic Server et WebLogic Express (issus de l'offre BEA WebLogic). Elle concerne sept versions du produit, qu'elle rend vulnérables aux attaques distantes. Cette faille sérieuse est classée au niveau 10, le plus haut sur l'échelle CVSS (Common Vulnerability Scoring System) qui évalue l'importance des risques encourus. En trois ans, depuis qu'Oracle a mis sur pied un cycle de mises à jour régulières, cette faille est la première qui l'oblige à procéder à une mise à jour hors cycle. (...)
(07/08/2008 16:43:59)Black Hat : Kaminsky livre les détails sur la faille du DNS
Malgré la pression des autorités et les commentaires parfois peu amènes de ses pairs du milieu de la sécurité, si c'était à refaire, Dan Kaminsky le referait, car désormais « des centaines de millions de gens sont plus en sécurité ». S'exprimant hier à la conférence Black Hat de Las Vegas, le découvreur de la faille des DNS est revenu sur sa façon de procéder, et a affirmé qu'il existait de multiples moyens d'exploiter cette faille, y compris pour circonvenir la sécurité d'un certificat SSL. Début juillet, Dan Kaminsky a averti publiquement de l'existence d'une faille dans le système de gestion des noms de domaine sur Internet (DNS, Domain name system). Cela faisait un an qu'il travaillait, avec les principaux éditeurs, à des solutions pour colmater cette brèche dans leurs logiciels. La plupart ont sorti les correctifs début juillet (Apple n'a sorti le sien qu'il y a quelques jours). Parfois accusé d'avoir dramatisé sa découverte, Dan Kaminsky a profité de la conférence Black Hat, spécialisée dans la sécurité, pour exposer en détail son point de vue. Le directeur des tests d'intrusion d'IOActive y a expliqué, face à un public nombreux, que le DNS était affecté par une série de bugs, dont des pirates pourraient tirer profit : en redirigeant les internautes vers de faux sites Web, en s'infiltrant dans les échanges de courriels ou en infectant les systèmes de mises à jour automatiques de logiciels. D'après lui, les connexions SSL (Secure socket layer), qui cryptent les échanges entre l'internaute et un site Web préalablement authentifié, pourraient aussi être compromises, dans la mesure où les certificats sont validés via le Web ou les messageries électroniques. Dan Kaminsky a également cité un autre type d'attaque, par le biais des systèmes de régénération de mots de passe, lorsqu'un internaute demande à un site Web de lui renvoyer son mot de passe. La faille du DNS permettrait alors de rediriger l'envoi vers le pirate. (...)
(05/08/2008 09:29:47)L'éditeur français GL Trade reçoit une offre de rachat de SunGard
L'Américain SunGard, fournisseur de solutions pour les institutions financières et le secteur public, et spécialiste de la continuité de services, vient de proposer d'acquérir 64,51% du capital de GL Trade, 4ème éditeur français de logiciels (au classement Truffle). A la tête de 1 400 collaborateurs, GL Trade développe des logiciels destinés à la communauté financière (solutions de back-office et front-office, outils de connectivité, applications de diffusion d'informations financières...). Coté sur Euronext Paris, le Français a réalisé un chiffre d'affaires de 203,25 M€ et un bénéfice net de 23,8 M€ sur son année fiscale 2007. Il vient d'annoncer un chiffre d'affaires de 108,2 M€ (+15%) sur son premier semestre 2008, échu fin juin. L'offre d'acquisition de SunGard s'établit à 41,70 euros par action. Le fournisseur américain indique que son offre fait apparaître une prime de 24% par rapport au cours de l'action de GL Trade au cours de clôture du 31 juillet dernier (+53% par rapport au cours du 05 mai, avant les rumeurs de transaction). Une complémentarité géographique SunGard compte 25 000 clients sur 50 pays, parmi lesquels les 50 plus grandes institutions financières. De son côté, GL Trade gère 1 600 clients (dont 20 grands acteurs de la finance) et dispose de bureaux dans 26 pays. Les implantations géographiques respectives des deux fournisseurs sont complémentaires. SunGard possède une forte présence en Amérique du Nord, tandis que le Français a déployé ses solutions de négociation et de connectivité en Europe et en Asie. GL Trade réalise 80% de son chiffre d'affaires hors de France : 22% en Grande-Bretagne, 27% dans les autres pays européens, 16% sur le continent américain et 15% en Asie. L'an dernier, en juillet, SunGard avait racheté la SSII française GTI Consultants. (...)
(16/07/2008 14:42:56)Le réseau de San Francisco verrouillé par un administrateur réseau
Cela sonne comme une plaisanterie mais ce n'en est pas une. Un administrateur réseau a été arrêté pour avoir verrouillé certains systèmes informatiques de la ville de San Francisco coûtant des millions de dollars et gérant des données sensibles. Et il refuse de donner les mots de passe à la police. L'administrateur, âgé de 43 ans, a été arrêté dimanche 13 juillet, à son domicile de Pittsburg (Californie) et il est accusé de quatre chefs d'effraction sur un réseau informatique. Selon le bureau du procureur de San Francisco, il aurait modifié le réseau de fibre optique de la ville et l'aurait rendu inaccessible aux administrateurs. Le réseau concerné connecte les bâtiments de la ville et transporte 60% du trafic de données de la ville. Lundi, il fonctionnait correctement mais la ville n'a plus d'accès administrateur sur les routeurs et les commutateurs. Le responsable des télécommunications pour la ville avait récemment embauché un nouveau responsable sécurité qui a réalisé une évaluation des protections. Lors des dernières semaines, l'évaluation a révélé des preuves d'effraction. Cela a entraîné une déclaration à la police qui a mené ses propres investigations, qui ont mené à l'arrestation de l'administrateur réseau. La ville de San Francisco tente désormais de résoudre le problème avec l'équipementier Cisco. (...)
(10/07/2008 09:12:27)Les grands des TIC s'allient face à une faille des DNS
Découverte par Dan Kaminsky il y a un an, une faille au coeur même du protocole DNS (Domain Name System) permettrait de rediriger la navigation et les courriers électroniques en direction d'un domaine vers un autre, sous le contrôle d'un pirate. Cette faille vient seulement d'être révélée. Plusieurs acteurs des TIC habituellement concurrents (Microsoft, Cisco, Red Hat, Sun Microsystems, et Internet Software Consortium), fournisseurs principaux de serveurs DNS, se sont alliés pour sortir un correctif contre cette vulnérabilité. Chez Microsoft, cette correction fait partie des neuf rustines publiées avec le « Patch Tuesday » de juillet. Pour autant, pour Rich Mogull, directeur de Securosis, une SSII spécialisée dans la sécurité, si la faille découverte par Dan Kaminsky permet très simplement de détourner à son profit le trafic Web, elle n'est pour l'instant pas très dangereuse. « Ceux qui sont au courant font partie des 'gentils'. Votre risque n'est pas plus grand aujourd'hui qu'il ne l'était hier. » Ceci pourrait pourtant bien changer : Dan Kaminsky a en effet l'intention de révéler plus de détails techniques sur cette faille lors de la prochaine Black Hat Conference, qui aura lieu du 2 au 7 août prochains à Las Vegas. En attendant, il recommande aux administrateurs réseaux de patcher leurs systèmes ou, à défaut, d'utiliser des technologies Open Source comme Open DNS (non concernées par cette faille). Et pour les particuliers qui veulent savoir s'ils sont protégés ou non, son blog propose un 'widget' capable d'éprouver la sécurité d'un réseau d'entreprise ou d'un fournisseur d'accès. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |