Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 1431 à 1440.
| < Les 10 documents précédents | Les 10 documents suivants > |
(21/02/2008 17:50:20)
Société Générale : Jérôme Kerviel aurait envoyé sept faux emails pour justifier ses transactions
Le Mercredi 20 février 2008, en soirée, le Comité spécial du Conseil d'administration de la Société Générale a publié un rapport d'étape de 27 pages sur ses investigations à la suite de la découverte d'une fraude qui aura coûté près de 5 Md€ à la banque. Pour résumer, à la lecture de ce document, c'est à la fois la faiblesse des contrôles métiers de la banque et l'astuce de Jérôme Kerviel qui auraient permis la fraude. Jérôme Kerviel semble avoir démontré une capacité impressionnante à jongler avec les outils financiers de la banque et à manipuler leur logique interne. De même, on note une absence d'initiative des responsables du contrôle à procéder à des examens plus poussés et non explicitement prévus dans les procédures. Une certaine crédulité et le manque de confiance en soi des agents de contrôle ont également pu contribuer à la poursuite des manipulations. Usage de faux emails à sept reprises Par ailleurs, il avait été évoqué par la banque le fait que Jérôme Kerviel aurait usurpé des droits d'accès. Cela ne paraît plus aussi évident. Selon le rapport, l'investigation d'éventuelles usurpations informatiques se poursuit. En effet, « les sept accès indus initialement identifiés par la task force de SGCIB [NDLR : Société Générale Corporate Investment and Banking] n'ont pas in fine été avérés (la task force avait mal interprété les informations recueillies à ce sujet) ». [[page]] En revanche, on note dans les causes de l'absence de détection des actions frauduleuses, l'usage présumé de faux emails forgés à sept reprises par Jérôme Kerviel afin de se justifier. Ces emails apparaissaient comme ayant été émis par d'autres établissements bancaires servant de contre partie. Entre le 12 avril 2007 et le 18 Janvier 2008, sept emails frauduleux ont ainsi été détectés : - en vérifiant qu'ils concernaient des transactions fictives ou à d'autres conditions que celles évoquées dans les emails, - en vérifiant dans l'outil Zantaz (archivage des emails) que Jérôme Kerviel, n'avait reçu aucun message de l'émetteur indiqué ces jours-là, - en identifiant d'éventuelles anomalies dans les emails (signature modifiée par rapport aux autres emails du même émetteur) En outre, la banalisation des erreurs de certains programmes informatiques a pu entraîné une absence de réaction : « [Le département ] RISQ/RDM/EQY attribue l'origine des anomalies à des problèmes récurrents d'enregistrement des opérations dans les systèmes informatiques. Il se contente de notifier le dépassement de limite à Jérôme Kerviel et à sa hiérarchie proche et de s'assurer de sa résorption ». Le comité spécial estime donc que des faiblesses ont été identifiées dans le dispositif de supervision et de contrôle, auxquelles il convient d'apporter sans délai des remèdes. Trois chantiers prioritaires doivent être enclenchés afin de renforcer le dispositif de contrôle en vue de prévenir de nouvelles fraudes : [[page]] - le renforcement de la sécurité informatique, par le développement de solutions d'identification forte (biométrie), l'accélération de projets structurels en cours en matière de gestion de la sécurité des accès ainsi que des audits de sécurité ciblés ; - le renforcement des contrôles et des procédures d'alerte ; celles-ci sont revues notamment pour s'assurer d'une circulation appropriée des informations pertinentes entre les différentes unités et au bon niveau hiérarchique ; - le renforcement de l'organisation et de la gouvernance du dispositif de prévention des risques opérationnels pour en développer la transversalité et mieux prendre en compte le risque de fraude, y compris sous l'angle des ressources humaines. Encore des travaux en cours L'essentiel des travaux a été engagé. Toutefois, un certain nombre d'entre eux n'a pas pu être achevé à ce jour, comme les analyses de la sécurité informatique. Principalement, selon le comité, il leur reste à mener à leur terme les travaux suivants : " (...) l'approfondissement de nos analyses sur les possibilités d'intrusion dans le système front office, l'étude exhaustive des messageries électroniques et des bandes téléphoniques de Jérôme Kerviel et de son entourage professionnel". (...)
(18/02/2008 17:23:37)Une page Web sur 1000 est malveillante selon Google
Google a exploré des milliards de sites Web au cours des dix derniers mois, afin de rechercher les pages malveillantes qui auraient pu attaquer les internautes ayant utilisé le célèbre moteur de recherche. Dans son rapport annuel baptisé « Tous vos iFrames pointent vers nous », Google a identifié trois millions d'adresses Web potentiellement dangereuses, ce qui correspond à près d'une page sur mille. Plus inquiétant, en janvier 2008, 1,3 % des requêtes tapées sur Google aboutissaient à l'un de ces sites malveillants. Les attaques les plus fréquentes sont les « drive-by downloads », une sorte de petit programme qui se télécharge sans le consentement de l'internaute, en général quand il clique tout simplement pour fermer une boîte de dialogue. D'après l'étude de Google, les pirates sont très friands de ce type d'attaque, car les pare-feux et autres outils de sécurisation du poste de travail sont devenus trop performants contre les virus et autres vers pour les intéresser. Les hackers ont développé des outils automatisés qui visitent les sites Internet à la recherche d'erreurs de programmation, et exploitent les failles découvertes pour installer les logiciels de drive-by downloads. Ces derniers ouvrent une page iFrames invisible, qui redirige le navigateur vers un serveur Web malveillant. Lequel tente ensuite d'installer le logiciel sur le PC de l'internaute qui a cliqué sur le lien. La majorité des serveurs de téléchargement malveillants sont situés en Chine (67%). Les autres se trouvent aux Etats-Unis (15%), en Russie (4%), en Malaisie (2,2%) et en Corée (2%). La Chine attire les hackers car l'enregistrement d'un nom de domaine n'y coûte quasiment rien, et les FAI sont en général très lents à réagir pour fermer les pages malveillantes. Les pirates se répartissent en deux catégories très distinctes : des fraudeurs qui cherchent à voler des données confidentielles, comme un mot de passe ou un code de carte bancaire, et des adolescents qui cherchent à usurper le profil d'autres internautes, sur World of Warcraft par exemple. Google termine son rapport en rappelant aux internautes qu'il est essentiel de lancer régulièrement des mises à jour de leur système d'exploitation, de leurs logiciels et évidemment de leur antivirus. (...)
(18/02/2008 16:59:30)Coupure de service de S3 chez Amazon
Le service de stockage en ligne d'Amazon (S3, pour Simple Storage Service) est resté temporairement inactif vendredi matin, ont rapporté des utilisateurs américains mécontents sur les forums de la société. S3 propose de stocker et de distribuer en ligne de grandes quantités de données, offrant ainsi l'infrastructure nécessaire à des développeurs et à des entreprises misant sur la réactivité et la flexibilité de leur application. C'est notamment le cas de Twitter. En Europe, S3 est notamment commercialisé 0,18$ par Go stocké par mois ou 0,10$ par Go de données transférées. S3 serait resté sans réponse pendant trois heures (jusqu'à 9 heures, heure locale), et certains clients regrettent qu'Amazon n'ait pas communiqué sur le sujet. Un point que rejette le porte-parole de la société qui a déclaré que le service a été coupé pendant deux heures mais qu'il était rapidement redevenu opérationnel avant 7 heures (heure locale). Il ajoute que la société a publié un bulletin signalant la réactivation du service. Outre les Etats-Unis, la panne aurait également touché le Brésil. Il est à noter qu'Amazon, dont le métier original est de commercialiser en ligne des livres, fournit des services en mode hébergé. Outre S3, la société commercialise SimpleDB, une base de données relationnelle, ainsi que EC2, une solution de calcul. (...)
(13/02/2008 09:20:00)La moitié des failles découvertes en 2007 restent sans correctif
Plus de la moitié des 3600 vulnérabilités affectant des logiciels découvertes en 2007 n'ont pas été corrigées. C'est l'une des conclusions du rapport annuel X-Force, publié par la branche Internet Security Systems d'IBM. Selon le document, 20% des failles touchant Microsoft, Apple, Oracle, IBM et Cisco restent sans correctif. Et parmi ces grands acteurs, le rapport X-Force fait tomber une idée reçue : on compte presque autant de vulnérabilités touchant Apple que Microsoft. A l'inverse, les outils Open Source souffrent moins que les produits propriétaires, les failles étant rapidement détectées et corrigées par la communauté. Autre enseignement : de 5% à 11% des machines connectées - soit entre 32 et 71 millions - appartiennent à des réseaux de machines zombies, ou botnets. Parmi les plus vastes, Storm ou Rbot rassemblent respectivement 230 000 et 40 000 ordinateurs. Des réseaux d'autant moins compliqués à mettre en place qu'il est possible, pour un millier de dollars, d'acquérir un kit permettant d'infecter des postes de travail et de constituer sa propre nébuleuse. Du côté des malwares, le rapport recense 410 000 exemplaires en circulation, soit un tiers de plus qu'en 2006. Une progression essentiellement due à l'explosion de la quantité de troyens, qui représentent plus du quart des programmes malicieux. Enfin, IBM note que le phénomène des réseaux sociaux et leur utilisation de plus en plus fréquente en milieu professionnel va concourir à accroître le nombre d'atteintes à la sécurité. (...)
(12/02/2008 17:48:24)Le chiffrement peut nuire aux entreprises
Un paradoxe. Selon certains experts en sécurité, le chiffrement de données ouvrirait le système des entreprises à de nouveaux risques et menaces. Ce constat, réalisé notamment par les équipes d'IBM, d'Internet Security Systems et de Juniper, vient à contre-courant d'une tendance actuelle qui consiste d'abord à se prémunir du vol ou de la perte de données, mais également à répondre aux régulations gouvernementales en termes de stockage de données. Pour ces chercheurs, cela procurerait l'effet inverse : au lieu de bâtir un rempart infranchissable, il ouvrirait incidemment en grand la porte à des attaques. « De nombreuses entreprises sont récemment venues au chiffrement, explique Richard Moulds, vice-président stratégie de nCipher à nos confrères de Techworld. Leur seul contact a été avec SSL, mais cela agit uniquement en session [ndlr, et ne concerne pas le chiffrement pour les données stockées mais celles transmises par Internet]. Quand vous passez au chiffrement de données stockées et cryptez votre ordinateur portable, si vous perdez la clé - et crashez vos données-, cela peut être considéré comme un déni de service sur soi-même. » Encore plus étonnante, son analyse consiste à considérer qu'une personne mal attentionnée puisse pénétrer un portable, annuler la clé et ...demander une rançon. Les chercheurs ont soulevé un autre point important : un chiffrement zélé de données freine la diffusion de l'information dans l'entreprise et met ainsi en péril le partage et l'analyse des données sensibles. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |