Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 1501 à 1510.
| < Les 10 documents précédents | Les 10 documents suivants > |
(29/11/2007 10:21:27)
Les failles d'Office et des applications Web pointées du doigt par le Sans Institute
Selon l'organisation spécialisée dans la sécurité informatique, les développeurs ne recourent pas à des méthodes de codage sécurisées pour bâtir les applications hébergées, donnant ainsi l'opportunité aux personnes malintentionnées d'accéder aux bases de données liées à ces dernières. Les services en ligne échangent en outre des informations avec les machines des utilisateurs, et offrent ainsi aux pirates une double occasion de profiter d'une vulnérabilité. Dans le cas des banques en ligne ou des sites de e-commerce par exemple, la manoeuvre malicieuse consistera à subtiliser le couple identifiant/mot de passe ou des informations relatives aux cartes bancaires, selon que l'on profite d'une faille située du côté de l'utilisateur ou du serveur. La suite bureautique de Microsoft récolte aussi son lot de griefs, le Sans Institute indiquant que le nombre de failles identifiées a bondi de 300% entre 2006 et 2007, notamment en raison de nouvelles vulnérabilités affectant Excel. En exploitant certaines faiblesses d'Office, des pirates peuvent concevoir un document qui, une fois ouvert, injecte du code malicieux dans la machine de sa victime. Les documents sont envoyés en pièce jointe par courriel, un soupçon d'ingénierie sociale suffit alors à inciter les plus crédules à ouvrir le fichier. La naïveté des utilisateurs constitue un des développements du rapport, au même titre que les vulnérabilités des applications. Le Sans Institute prêche en effet en faveur de l'éducation des internautes et plus généralement des utilisateurs, trop souvent prompts à se laisser piéger par des grosses ficelles. Si le nombre des failles affectant Office est en très forte hausse, le nombre de sites Web susceptible d'infecter une machine avec un spyware s'inscrit également en nette croissance. Selon Webroot, l'une des sociétés ayant contribué au rapport du Sans, les sites Internet présentant un danger sont 187% plus nombreux cette année que l'an dernier. Il ne faudrait ainsi que cinq minutes pour qu'un PC non protégé connecté sur le Web soit la cible d'une attaque. Face à ces risques, les recommandations du Sans sont frappées du sceau du bon sens : les développeurs doivent avoir recours à des outils pour éprouver la sécurité de leur code, les administrateurs de systèmes dont les utilisateurs ont recours aux applications Web sont censés utiliser des pare-feux et appliquer régulièrement les mises à jour. (...)
(23/11/2007 15:42:22)Les cartes d'identité numériques ne sont pas infalsifiables
Encore un rapport qui dénonce la confiance aveugle des gouvernements européens dans la gestion numérique des identités. Le constat est clair : d'un côté des administrations qui considèrent les procédés d'identification numérique comme une panacée, de l'autre des administrés qui craignent pour leur vie privée. Réalisé par Ecotec Reseearch et le Tavistock Institute, ce rapport souligne l'urgence d'un "pacte clair" à établir entre les administrations et leurs administrés. Un pacte fondé sur la transparence. Selon les rapporteurs, c'est le seul moyen de passer de la défiance qui règne dans les esprits à une relation de confiance vis-à-vis de la façon dont les données personnelles sont stockées. Ce rapport paraît quelques jours après le scandale qui a explosé en Grande-Bretagne à propos de la disparition de CD-Rom contenant les enregistrements de données personnelles de 25 millions de citoyens britanniques. Le rapport souligne en particulier le fait que même les cartes d'identité électroniques peuvent être falsifiées. Les considérer comme des documents infalsifiables peut être extrêmement dangereux. Une vérification d'identité ne devrait pas reposer uniquement sur ces cartes d'identité, mais être combinée avec des éléments d'identification complémentaire qui ne seraient pas contenus dans la carte. Il est ainsi envisagé de croiser les informations enregistrées avec des données biométriques. (...)
(23/11/2007 11:49:59)XP a bien un problème de génération de nombres aléatoires
Près d'une semaine après la découverte du bogue par trois chercheurs de l'université de Haifa, Microsoft admet que Windows XP présente, comme Windows 2000, une faille dans son générateur de chiffres aléatoires. Celle-ci permettrait à un expert en cryptographie de prédire quelles clés seront générées par le système (avant d'être utilisées dans une transaction SSL par exemple). Microsoft annonce que cette faille sera comblée dans le prochain SP3 de Windows XP. L'éditeur précise que ses systèmes d'exploitations plus récents - Vista, Windows Server 2003 et Windows Server 2008 - ne sont pas concernés car ils utilisent déjà une version modifiée du générateur. En revanche, l'éditeur n'a pas l'intention de proposer un patch pour Windows 2000, le système d'exploitation arrive en fin de vie et seules les mises à jour de sécurité prioritaires sont diffusées gratuitement. (...)
(22/11/2007 15:45:04)Les antivirus aussi vulnérables que les logiciels qu'ils protègent
Conçus pour inspecter nos courriers électroniques, analyser notre navigation sur le Web et de manière générale espionner tous les fichiers à la recherche du moindre indice qui laisserait entendre qu'on est victime d'une attaque, les anti-virus pourraient être la porte par laquelle entreraient les virus... C'est du moins les conclusions d'une enquête menée par la société de conseil allemande n.runs AG, spécialisée notamment dans la sécurité. D'après Thierry Zoller, consultant en sécurité de n.runs AG, les entreprises qui essaient de renforcer leur sécurité en multipliant les anti-virus ne font en fait qu'accroître les risques. Son enquête démontrerait en effet que les anti-virus contiennent des 'parseurs' (ou analyseurs de code), programmes indispensables pour ouvrir des fichiers de format, susceptibles de comporter des bugs, lesquels pourraient être facilement exploités par des programmes malveillants. Menée sur deux ans, l'enquête aurait démontré que la majorité des grands acteurs du marché de l'anti-virus sont touchés par ces bugs, Thierry Zoller affirmant avoir trouvé plus de 80 bugs différents dans les parseurs des logiciels d'anti-virus qui n'ont pas été corrigés. La plupart de ces bugs autoriserait l'exécution de code malveillant sur un système. De fait, l'information n'est pas vraiment nouvelle : les bugs de parseurs au sein des navigateurs, pour ouvrir des fichiers graphiques notamment, ont déjà fait couler beaucoup d'encre et laissé passer de nombreux virus. Mais c'est la première fois qu'on s'attaque réellement aux parseurs de logiciels supposés protéger l'entreprise et non ouvrir de nouvelles brèches dans leur politique de sécurité. Les éditeurs du marché de la sécurité n'ont bien entendu pas manquer de réagir à cette enquête. Ils estiment que les saboteurs ont d'autres chats à fouetter que de s'attaquer aux logiciels de sécurité et qu'il est beaucoup plus facile pour eux de continuer à faire circuler des virus dans les pièces jointes des courriers électroniques par exemple. Des arguments qui finalement laisseraient entendre qu'on a beaucoup de chance : les saboteurs n'ont pas encore pensé à attaquer les programmes de sécurité ! De quoi clairement défrayer la chronique surtout quand on tient compte de la réaction de Marc Maiffret, CTO de eEye digital security, éditeur de solutions de sécurité : « les logiciels de sécurité sont aussi vulnérables que n'importe quel autre logiciel. Nous employons tous les mêmes développeurs qui sont allés dans les mêmes écoles que celles des employés de Microsoft et ils y ont tous appris les mêmes choses. » (...)
| < Les 10 documents précédents | Les 10 documents suivants > |