Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 1461 à 1470.
| < Les 10 documents précédents | Les 10 documents suivants > |
(15/01/2008 16:44:28)
Deux administrateurs Oracle sur trois ne patchent pas leur SGDB
Quatre fois par an, régulièrement, Oracle poste son CPU (Critical Patch Updates) qui rassemble toutes les mises à jour de sécurité les plus importantes pour sa base de donnée. Et que font les administrateurs de ces bases ? Pour les deux tiers d'entre eux, strictement rien. C'est en effet le résultat d'un sondage mené par Sentrigo, revendeur américain de solutions de sécurité pour bases de données, auprès de 305 administrateurs Oracle provenant de 14 Oracle user group américains. Et dans le lot, seuls 10 % installent régulièrement les CPU, alors que 90 % d'entre eux n'ont pas installé le dernier lot de patches. Et 67,5 % des répondants n'ont même jamais installé un seul patch. Pour expliquer cette absence d'intérêt, Steve Markovich, directeur technique de Sentrigo a noté trois tendances majeures parmi les répondants. Primo, la plupart d'entre eux ne sont pas sensibilisés aux vulnérabilités pouvant affecter des bases de donnée. Deuxio, l'absence de certifications CPU pour les applications extérieures devant travailler avec une base Oracle est également un frein. Tertio, la sécurité n'est pas la préoccupation majeure de leurs employeurs qui les jugent sur la disponibilité et la performance de la base de donnée. « Au final, patcher une base de données est une opération complexe en soi », explique Steve Markovich. « Et si Oracle peut toujours rendre les choses de plus en plus facile, il faut que du côté client on reconnaisse que la sécurité doit faire partie d'une routine d'administration de base normale. » (...)
(11/01/2008 17:18:25)Les données clients exposées lors des phases de test
La plupart des entreprises font inutilement courir un risque aux données de leurs clients ou de leurs employés lorsqu'elles testent leurs applications informatiques. C'est ce que révèle un rapport intitulé « Test data insecurity : the unseen crisis », publié en décembre par l'éditeur Compuware et les analystes de Ponemon Institute, à la suite d'une enquête menée en juillet et août dernier auprès de 897 responsables informatiques. On y découvre qu'en Europe, 64% des entreprises interrogées utilisent les véritables données de leurs clients (des données issues de leur système de production) sans prendre la peine de les modifier, lors des phases de test qui accompagnent le développement de leurs applications. Parmi les entreprises françaises sondées, elles ne sont que 43% à avoir reconnu procéder ainsi. Seule concession à la confidentialité : les données sont mélangées au sein des colonnes, de façon à ce que les lignes restent cohérentes. Parmi celles qui le font en France, 66% se servent des fichiers clients complets (63% en Europe) et 37% se bornent à utiliser des listes de clients (45% en Europe). Or, les informations ainsi utilisées incluent la plupart du temps des renseignements sensibles ou confidentiels, tant sur les employés que sur les clients (numéros de référence, de cartes de crédit, de sécurité sociale...). Nécessité d'une prise de conscience Les entreprises pensent généralement que les procédures de tests ne mettent pas en danger ces données privées parce qu'elles ne se déroulent pas dans un environnement de production. Pourtant, les informations ainsi manipulées se retrouvent entre les mains d'intervenants qui ne sont généralement pas autorisées à les consulter, non seulement au sein des équipes internes de l'entreprise, mais aussi et surtout lorsque les tests sont effectués chez des partenaires ou des sous-traitants. L'enquête de Compuware et Ponemon montre justement que 59% des entreprises françaises interrogées externalisent les tests de leurs applications (42% seulement en Europe) et que 81% partagent leurs données de production avec leurs sous-traitants (60% en Europe). Larry Ponemon, président fondateur de l'Institut Ponemon, explique cette pratique risquée par le fait qu'il est plus facile et moins cher d'utiliser des fichiers de données internes pour tester les applications. Mais il souligne à quel point cela peut compromettre la sécurité de ces données confidentielles et insiste sur la nécessité d'une prise de conscience. De fait, l'étude révèle aussi que 38% des entreprises françaises interrogées (35% en Europe) reconnaissent ne pas savoir si l'intégrité de leurs informations a été compromise. Pire, 45% des entreprises européennes admettent que des données utilisées dans le cadre de tests ont été perdues ou volées. (...)
(04/01/2008 12:35:21)Facebook victime d'un logiciel espion
Des chercheurs de Fortinet, éditeur spécialisé dans la sécurité, viennent de découvrir un widget (contraction de window et gadget) suspect chez Facebook. Ce widget, qui se propage très rapidement au sein du réseau communautaire, se présente sous la forme d'une requête malveillante baptisée « Secret Crush ». Le message propose à l'internaute de découvrir qui, parmi ses « amis », lui voue un amour secret. Seule condition, l'utilisateur doit télécharger une petite application (en réalité un logiciel espion qui s'installe sur l'ordinateur de l'utilisateur), puis faire suivre le message à cinq de ses amis. Cette application comporte un programme d'affiliation qui permet de rediriger du trafic vers Zango, un site spécialisé dans les adwares et déjà condamné à plusieurs reprises par la justice américaine pour "pollution numérique". Les conepteurs de ce logiciel espion sont financièrement récompensés, sur la base du nombre total de clics reçus par Zango. 3 % des membres de la communauté Facebook (soit un million de personnes) ont d'ailleurs déjà ouvert le message. « Cela démontre non seulement l'efficacité de la stratégie de propagation adoptée par le widget mais aussi le formidable levier de diffusion qu'offre une base de contacts aussi importante que Facebook », indique Guillaume Lovet, responsable de l'équipe en charge de l'analyse et du suivi des menaces chez Fortinet, qui a découvert cette vulnérabilité. Fortinet a mis en ligne une série un site avec une série de conseils pour éviter d'être infecté. Pour rappel, Facebook avait été victime de sa première campagne de spam le 21 décembre dernier. Un faux message de Mark Zuckerberg (fondateur du site communautaire) avait alors été envoyé à des milliers de membres. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |