Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 1451 à 1460.
| < Les 10 documents précédents | Les 10 documents suivants > |
(31/01/2008 15:28:16)
L'Internet indien et moyen-oriental privé de câble
Un seul câble vous manque et tout est déconnecté. Imaginez, lorsqu'il s'agit de deux câbles coupés à quelques encablures l'un de l'autre, en pleine mer, au large d'Alexandrie, et qu'ils constituent un élément essentiel du backbone qui diffuse Internet dans tout le Moyen-Orient et le sous-continent indien. Le coupable de cette petite catastrophe numérique serait un navire pour avoir mouillé l'ancre dans une zone inhabituelle. Elle aurait chassé au point de rompre ces deux câbles. Avec des interruptions partielles de service tant sur Internet que pour les télécommunications sur l'ensemble de son territoire, l'Egypte est le pays le plus affecté par cette rupture inopinée. Là-bas, on parle de catastrophe nationale. Toutefois, l'ensemble du Moyen-Orient souffre d'une baisse des débits. L'onde de choc s'étend jusqu'en Inde, au Pakistan et au Sri Lanka. Le reroutage est une force structurelle d'Internet, mais, en cas de coup dur, cela se fait au détriment de la bande passante. La réparation devrait prendre entre 12 et 15 jours, durée pendant laquelle on va pouvoir mesurer la fragilité des relations avec les sous-traitants et des limites de l'externalisation qui ne tiennent qu'à un fil. L'ampleur des dégâts rappelle celle qu'avait entraîné la rupture d'un câble sous-marin au large de Taïwan fin 2006. Mais, cette fois-ci, c'était un tremblement de terre qui était en cause. (...)
(31/01/2008 14:28:30)IBM retient PGP pour crypter les disques de ses 355 000 salariés
C'est décidé, IBM va crypter l'intégralité des données stockées sur les disques durs des machines de ses 355 000 salariés. L'opération va s'étendre sur toute l'année 2008. Jusqu'à aujourd'hui, IBM se limitait à l'utilisation de l'extension Secure Multipurpose Internet Mail pour protéger les courriers qui transitaient par Lotus Notes. IBM explique sa coûteuse décision, dont il refuse de communiquer le montant, par la crainte de "perdre" des informations et la nécessité de se conformer aux règles qui protègent la vie privée. Le groupe annonce qu'il compte imposer le cryptage des données le concernant à ses fournisseurs. On notera qu'IBM a choisi d'utiliser le logiciel PGP (Pretty Good Privacy, qui fut inventé par Philip Zimmerman) plutôt que d'utiliser, par exemple, BitLocker, outil de cryptage des données intégré à Windows Vista. Le 1er novembre dernier, IBM Global Services et PGP Corporation avaient annoncé des offres de services d'IBM fondées sur les logiciels Whole Disk Encryption, NetShare, Desktop Email et PGP Universal Gateway Email de PGP Corp. Cette société est née en 2002 après avoir repris son indépendance vis-à-vis de Network Associates qui l'avait acheté en 1997. Philip Zimmerman ne joue aucun rôle dans la direction de PGP Corp. Il consacre ses talents à la mise au point de procédés de cryptage pour la VoIP comme ZRTP et Zfone, son logiciel d'encryption des télécommunications en VoIP qui fonctionne en pair à pair. (...)
(29/01/2008 09:46:18)Différend entre Google et l'UE sur le statut juridique de l'adresse IP
L'enquête en cours de la Parlement européen à propos du rapprochement de Google et de DoubleClick / (société de régie publicitaire en ligne) a soulevé ces derniers jours une autre question auprès des députés, celle du statut juridique de l'adresse IP (protocole Internet). Les élus européens se sont longuement penchés sur cette nébuleuse de l'Internet, et ont conclu que l'adresse IP constituait une donnée privée, au grand dam de Google et d'autres sites vivant de la publicité en ligne. « Si une personne peut être identifiée par son adresse IP, à ce titre elle est privée et son utilisation par les sociétés de l'Internet doit être réglementée », a déclaré Peter Schaar, coordinateur des Cnil européennes et président de l'Article 29, un groupe de protection des données personnelles dépendant de la commission européenne. D'ailleurs l'Union européenne a déjà tenté d'encadrer l'utilisation des données personnelles au travers de directives (datant de 1995 et 2002) qui définissent comme donnée personnelle « toute information concernant une personne physique identifiée ou identifiable ». Le traitement de ces informations (modalités de collecte, durée de conservation, utilisation...) est réglementé. L'Article 29 examinera dans quelle mesure les moteurs de recherche respectent les lois de protection de données, et devrait rendre ses premières conclusions avant la mi-juin. Le groupe encourage vivement le Parlement européen à adopter une loi définissant plus clairement le statut de l'adresse IP Google estime se servir des adresses IP pour « améliorer le service » aux internautes Sans surprise, Google et les autres sites qui vivent de la publicité en ligne ne sont pas d'accord avec les conclusions de Peter Schaar. Pour eux, l'adresse IP ne doit pas être considérée comme une donnée personnelle, mais comme une simple indication géographique d'un ordinateur, et non pas d'une personne. D'après John Steinback, porte-parole de Google, « un FAI peut relier une adresse IP à un abonné, mais un site Web visité par un internaute disposant d'une adresse IP ne peut pas relier cette dernière à une personne physique ». Google a par ailleurs argué que l'utilisation de ces adresses IP servent uniquement à apporter un meilleur service aux internautes. « Tout dépend du contexte » a encore précisé John Steinback. Dans sa réflexion, la Commission européenne est confrontée à un autre problème de taille : Internet est un réseau mondial, et si l'adresse IP bénéficie un jour d'un statut juridique, cela nécessitera d'homogénéiser la législation au niveau international. Un défi qui semble difficile à relever. (...)
(28/01/2008 11:34:05)La Société Générale se dit victime d'utilisation frauduleuse de mots de passe
Jérôme Kerviel aurait tout bêtement pu jouer en Bourse environ 50 Md€ pour le compte de la Société Générale parce qu'il aurait pu déjouer les contrôles « en usurpant les codes d'accès informatiques appartenant à des opérateurs pour annuler certaines opérations ». C'est ce qu'explique la banque dans une note de 5 pages. La Société Générale y détaille la façon dont, selon elle, son trader, actuellement en garde à vue, « a réussi à détourner les contrôles en combinant plusieurs techniques de fraude ». Au niveau informatique, le trader, qui a reconnu devant les policiers bien connaître les systèmes de contrôle pour avoir travaillé dès l'an 2000 au 'middle office' de la banque, aurait donc simplement contourné les systèmes grâce à de simples mots de passe appartenant à des collègues chargés du contrôle. En termes de sécurité, il s'agit donc d'un niveau très bas, qui ne coïncide pas avec ce que présente généralement la Société Générale de son système informatique. Sachant en outre que les opérations de M. Kerviel s'étendent sur plusieurs mois, cela soulève plusieurs questions aujourd'hui sans réponse : Ces mots de passe sont-ils changés, et avec quelle régularité ? Des logiciels de supervision des événements (BAM, Business activity monitoring) et de corrélation des événements en temps réel (CEP, Complex event processing) capables de détecter des mouvements frauduleux n'ont-ils pas été mis en place ? De même, ce type de logiciel peut détecter des anomalies en matière de ressources humaines, telles que des intervalles bizarrement longs dans la prise de congés, par exemple, ce qui semble être le cas ici. (...)
(22/01/2008 10:52:44)Le cyber-espionnage économique entre dans le Top 3 des menaces
D'après l'institut SANS, spécialisé dans la formation sur la sécurité informatique, le cyber-espionnage économique arriverait en troisième position dans les menaces informatiques en 2008. Il toucherait aussi bien les entreprises que les Etats. L'institut aurait même déclaré que « l'espionnage économique deviendra de plus en plus courant, les états eux-mêmes n'hésitant pas à faire appel à ces pratiques pour être dans une position avantageuse lors de négociations internationales ». Les méthodes utilisées reposent pour l'essentiel sur le phishing et le social engineering , deux formes d'attaque qui exploitent la crédulité des gens à travers des mails frauduleux notamment. Si l'Institut ne donne aucun chiffre sur le coût de cette cybercriminalité pour les entreprises, il souligne néanmoins que des trésors d'informations ont déjà été volés. Il ajoute que les moyens déployés sont aujourd'hui similaires à ceux présents dans l'espionnage militaire, c'est dire si le danger est grand. Le problème est d'autant plus difficile à gérer que les cybercriminels ne cherchent pas forcément des données classées confidentielles, d'après une enquête menée par notre confère Ellen Messmer de NetworkWorld.com. Pour John Pescatore, analyste au Gartner, l'objectif des attaques consiste à récupérer des données d'entreprise telles que les cartes de crédit professionnelles ou encore le carnet de clients. Les sites de réseaux sociaux ainsi que les prestataires d'hébergement seraient donc des cibles privilégiées, car détenteurs d'une grande masse d'information sur les utilisateurs. Il faut en effet savoir qu'aujourd'hui les cybercriminels vont jusqu'à embaucher des psychologues et des sociologues pour décrypter les habitudes d'utilisation et de consommation. Ils ne jouent plus seulement sur les messages mais aussi sur la couleur, la position, les réflexes des utilisateurs. Toute information recueillie est donc une nouvelle brique dans la constitution d'une attaque. Contre cette recrudescence de la collecte d'information à des fins frauduleuses, les parades sont difficiles. Les produits de sécurité ne suffisent pas. Il faut mettre en place une politique rigoureuse de sensibilisation et de classement des informations. Certains experts vont même jusqu'à préconiser deux réseaux : un pour Internet et les messages électroniques, un autre pour le reste. La chine pointée du doigt Dans son enquête menée auprès de nombreuses entreprises qui avouent avoir été la cible d'attaques de ce type, Ellen Messmer montre la Chine du doigt. Les experts en sécurité chargés d'analyser les attaques seraient en effet souvent remontés jusqu'en Chine. Les cybercriminels ne sont pas forcément Chinois mais il apparaitrait clairement que la source des attaques provienne de serveurs localisés dans ce pays. Pour John Pescatore, « le problème est moins de savoir qui a fait l'attaque que de constater que la Chine ne fait rien de vraiment concret pour arrêter ces criminels ». Au passage, l'analyste du Gartner ajoute que les moyens mis en oeuvre par les Etats pour se prémunir sont rarement à la hauteur du problème. (...)
(21/01/2008 17:07:21)Le gouvernement anglais perd les données de 600 000 soldats
Le gouvernement britannique va-t-il tomber à cause d'une mauvaise gestion de la sécurité informatique ? Si la situation n'est pas encore si dramatique, le vol le 9 janvier dernier d'un ordinateur portable appartenant à un officier de la Marine britannique le met en mauvaise posture. Au point que le ministre de la Défense lui-même a dû assurer aux parlementaires anglais qu'il renforcera la sécurité des données informatiques de son ministère. Cet ordinateur, volé alors qu'il avait été laissé sans protection dans l'habitacle d'une voiture, contenait en effet les données personnelles (état-civil, numéro de passeport, numéro de sécurité social, etc.) de 600 000 personnes, intégrées aux forces armées britanniques ou intéressées pour être incorporées. Cet incident est le huitième en l'espace de trois mois, après notamment la perte de la base de données de l'équivalent anglais des allocations familiales, soit environ 25 millions de données personnelles dans la nature. Pour Richard Thomas, rapporteur devant le Parlement (Information Commissioner), cette nouvelle perte soulève de nombreuses questions : « Pourquoi autant d'informations sont collectées et combien de temps sont-elle conservées, et comment est-il possible qu'elle puissent quitter le bureau, sur un portable. Seulement ensuite il sera temps de se poser la question de savoir si elles étaient correctement chiffrées et si des mesures de sécurité adéquates ont été prises avec l'ordinateur portable. » En attendant, la police de Birmingham enquête pour retrouver le PC disparu. (...)
(21/01/2008 11:09:54)Un virus Facebook circule sur MSN
Des utilisateurs de MSN Messenger abonnés à Facebook sont victimes depuis quelques jours d'un virus intitulé « c'est pas toi là ? », et qui propose de visualiser une photo hébergée par Facebook. Si l'internaute clique sur le lien, le virus s'installe sur son ordinateur et se propage vers tout son carnet d'adresse. Résultat : les abonnés à MSN n'osent plus se connecter, car à chaque ouverture de la messagerie instantanée le virus (apparemment difficile à éradiquer) se diffuse automatiquement. Beaucoup d'abonnés ont été piégés par ce code malicieux durant ce week-end, et les plaintes sont nombreuses sur les forums et autres blogs. Une internaute note par exemple : « Ce virus s'amuse, il ouvre et referme aussitôt les fenêtres de conversation de mes contacts (qu'ils soient en ligne ou non) ». Cet incident est l'occasion de rappeler la dangerosité du téléchargement, à la fois pour des questions légales et de sécurité. (...)
(18/01/2008 15:31:46)27 correctifs Oracle pour ce mois-ci
Le tout dernier lot de correctifs d'Oracle (ou Critical patch update, CPU) totalise 27 rustines, donc 8 colmatant des défauts de la base de données, et 6 concernant le serveur d'applications. Les trous de sécurités les plus importants concernent de sérieux risques d'attaques par injection SQL et par exploitation d'inconsistances dans XML DB (le danger pouvant provenir des stations « clientes »). Coté serveur d'application, Oracle précise que 5 des défauts sont potentiellement exploitables à distance. Rappelons à cette occasion l'étude publiée par Sentrigo qui laissait apparaître que 67% des utilisateurs d'Oracle, sur un échantillonnage de 300 installations, n'avaient jamais appliqué un CPU, chiffre qui démontre non pas « l'inconscience » des administrateurs Oracle, mais la difficulté et les risques supposés liés à l'application d'un code - correctif ou non - sur une application aussi stratégique qu'un SGBD ou qu'un outil métier. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |