Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 1561 à 1570.
| < Les 10 documents précédents | Les 10 documents suivants > |
(05/10/2007 16:20:31)
Yahoo, eBay et PayPal dressent un rempart contre le phishing
Offensive contre l'hameçonnage et le pourriel. Paypal, eBay et Yahoo ont enfin décidé d'appliquer la technologie de signature électronique DomainKeys au service de webmail, Yahoo Mail. Une alliance qui doit empêcher (ou fortement réduire) la réception de faux messages usurpant l'identité des deux sites par les utilisateurs de la messagerie de Yahoo. Il s'agit de la première implémentation de la technologie dans un service grand public de webmail. DomainKeys Identified Mail est une norme IETF qui permet de vérifier l'authenticité des email en analysant le nom de domaine de l'expéditeur et l'en-tête. Microsoft développe, de son côté, SenderID, un concurrent de DomainKeys qui totaliserait, selon l'éditeur de Redmond, quelque 600 millions d'utilisateurs. PayPal et eBay sont deux sites généralement pris pour cible par les pirates pour voler les données personnelles sensibles (comme le numéro de carte bancaire), par des actes de phishing. PayPal dispose de 153 millions de comptes utilisateurs répartis dans 190 pays. Le service, testé sur le Yahoo mail australien, devrait être ouvert au reste du monde d'ici quelques semaines. (...)
(05/10/2007 13:08:18)Xen lance lui aussi son patch de sécurité
Après VMWare, un autre éditeur de logiciels de virtualisation lance un patch de sécurité. Il s'agit de XenSource et le patch concerne tous les environnements hôtes XenServer v4. La faille permet aux utilisateurs ayant des accès administrateurs sur des environnements hébergés d'accéder au domaine 0 de la machine virtuelle hôte et de la contrôler entièrement au redémarrage du système. Elle a été détectée par Secunia dans la version Xen 3.0.3 de l'hyperviseur mais pourrait également concerner d'autres versions. Dans le doute, XenSource recommande à tous ses clients de se protéger. Tandis que Virtual Iron, qui utilise également l'hyperviseur Open Source, précise que ses produits ne sont pas concernés car il ne permet pas à ses utilisateurs d'accéder au domaine 0. (...)
(04/10/2007 17:57:55)Google sécurise la messagerie de Google Apps Premier Edition
Comme prévu, Google fait profiter ses applications en ligne Google Apps Premier Edition des outils de sécurité pour messagerie rachetés à Postini en juillet dernier. Pour autant, le prix de l'accès au service ne bouge pas. Il reste fixé, pour l'Europe, à 40 euros par an et par utilisateur. Des services de filtrage de pourriels (spams) et d'anti-virus viennent ainsi s'ajouter à ceux qui étaient déjà proposés dans Google Apps Premier Edition. A ces outils de contrôle, destinés aux administrateurs, s'ajoute la possibilité de centraliser la mise en place de règles autour des contenus (pour empêcher, par exemple, l'envoi de messages contenant des informations sensibles sur l'entreprise). Les nouvelles fonctions permettent aussi la restauration des messages accidentellement détruits au cours des trois derniers mois. Avant son acquisition par Google, Postini proposait ces services comme add-ons à Google Apps Premier Edition moyennant une souscription complémentaire. En rendant ces outils gratuits, Google prouve sa détermination à voir ses applications adoptées par les petites et moyennes entreprises, selon l'avis de Matt Cain, de Gartner. Des outils que l'analyste qualifie « d'obligatoires » dans le cadre d'une exploitation professionnelle. Gmail stocke 2,5 fois plus qu'avant Dans le même temps, Google multiplie par 2,5 la capacité de stockage de sa messagerie Gmail pour les utilisateurs d'Edition Premier, en la faisant passer de 10 Go à 25 Go. Rappelons que, outre Gmail, les services en ligne Google Apps rassemblent la messagerie instantanée Google Talk, un agenda, un outil de création de pages Web et, surtout, des fonctions de traitement de texte et de tableur. L'offre comprend aussi des interfaces de programmation (APIs) pour intégrer les services avec le système d'information de l'entreprise qui les utilise. Près de 500 000 entreprises et organismes auraient déjà choisi les Google Apps, selon Google, ce qu'il traduit en « millions d'utilisateurs ». (...)
(02/10/2007 11:41:05)Web 2.0 : attention aux risques liés à Ajax, préviennent les experts
A l'occasion de l'AjaxWorld 2007 Conference & Expo qui s'est tenue fin septembre à Santa Clara (Californie), certains experts sont revenus sur les avantages mais également les risques liés à l'utilisation d'Ajax dans le cadre des applications de type Web 2.0. Ils reconnaissent en effet que la méthode de développement Ajax (Asynchronous JavaScript And XML) permet de concevoir des applications Web plus ergonomiques, car plus interactives, et qui s'exécutent plus rapidement puisque tous les traitements sont effectués sur le poste de travail sans les allers-retours avec les serveurs toujours synonymes de délais d'attente. Mais, ces mêmes experts, issus d'IBM, Oracle, Sun ou encore de sociétés spécialisées dans la création de sites Web, rappellent que les applications Ajax sont loin d'offrir la fiabilité, la richesse fonctionnelle et tout particulièrement la sécurité d'applications s'appuyant sur un serveur. Ted Farrell, architecte en chef et vice-président outils et middleware d'Oracle, rappelle déjà qu'en raison de la jeunesse des technologies, les entreprises doivent être prudentes quand au choix de leur solution : il y a deux grands frameworks sur le marché, et entre Microsoft et Adobe, il vaut mieux qu'elles ne se trompent pas car elles risqueraient alors de se retrouver coincées pour des années. Pour sa part, Danny Allan, expert d'IBM en sécurité, s'inquiète davantage de l'utilisation de sections de code fournies par les frameworks Ajax : les développeurs insèrent dans les programmes sophistiqués des entreprises des portions de codes qu'ils ne maîtrisent pas. En d'autres termes, ils perdent le contrôle de leurs développements. Pour autant les experts se veulent rassurants, l'idée n'étant pas de bannir Ajax des applications des entreprises mais plutôt de l'utiliser en bonne connaissance de cause, en commençant par clairement identifier ce qui « doit rester sur le serveur et ce qui doit aller sur le client » pour tirer le meilleur de Web 2.0, estime Robert Brewin, CTO de l'entité Software group de Sun. (...)
(01/10/2007 12:24:03)MailInBlack virtualise l'antispam
Start-up marseillaise spécialisée dans l'antispam par authentification du destinataire (principe des « listes blanches »), MailInBlack propose désormais sa solution en mode virtuel. Celle-ci s'installe dans la DMZ entre le pare-feu et le serveur de messagerie du client. En l'installant sur une machine virtuelle, celui-ci peut modifier rapidement la taille allouée à l'application en cas de recrudescence massive des spams ou d'augmentation de son personnel (et donc des boîtes aux lettres à protéger). Le coût de la protection varie suivant le nombre d'adresses : 28,02 € par an entre 1 et 100 adresses, 20,40 € par an au-delà. Toutefois, cette solution n'est pas un simple logiciel à installer. Pour fonctionner MIB-Virtual a besoin d'une version de Red Hat Entreprise Server 4 modifiée par la société. Il faut donc en confier l'installation à un intégrateur agréé. Et compter 300 à 600 € de plus pour cette intervention. (...)
(28/09/2007 18:31:39)La Banque de France s'émeut du manque de sécurisation des e-paiements
C'est à Londres que la Banque de France s'inquiète des risques inhérents aux paiements et aux transactions sur Internet. Lors de l'édition 2007 de Fraud World, Marc Andries, chef du service de surveillance des moyens de paiement scripturaux, a décerné un satisfecit sur la sécurité qui entoure désormais les paiements en face à face mais il s'inquiète des risques qui entourent les transactions en ligne. Selon lui, ces transactions, qui ne représentent que 5% du nombre total des transactions "scripturales", contribuent à hauteur de 32% à la fraude totale. En 2006, cette e-fraude a progressé de 41% à 33 M€ en France. D'après la Banque de France, les systèmes d'assurance en cas de fraude fonctionnent suffisamment bien pour que les spoliés ne s'en émeuvent pas. Du coup, c'est la collectivité qui supporte les pertes. Toutefois, la situation doit être améliorée étant donné l'augmentation rapide du nombre des transactions sur Internet. La Banque de France milite pour des transactions sécurisées sur un mode mutuel ( avec SSL, par exemple) et dynamique grâce à des solutions d'authentification utilisant, par exemple, des mots de passe à usage unique (One Time Pad, OTP). Mais la banque centrale s'inquiète des wobstacles à surmonter. La pléthore des techniques d'authentification sert d'excuse à l'immobilisme des acteurs qui doivent aussi surmonter des difficultés d'ordre ergonomique et qui s'inquiètent déjà du coût de la mise en place de ces techniques de sécurisation. (...)
(28/09/2007 17:40:05)Un consortium se crée autour de Kerberos
Kerberos va se relancer. Une kyrielle de développeurs et des grands noms de l'industrie comme Google et Sun ont décidé de promouvoir le système d'authentification inventé il y a vingt ans par le MIT, dans le cadre du consortium MIT Kerberos Consortium. Leur mission : dépoussiérer la technologie, la préparer à la mobilité et le multi-plateforme, et enfin la promouvoir. Selon Sam Hartman, un des principaux développeurs de Kerberos, interrogé par nos confrères d'Infoworld, le premier travail du consortium sera de faire revivre la technologie. « Kerberos a poursuivi son évolution jusqu'aujourd'hui, mais c'est une technologie qu'on utilise sans le savoir. » Kerberos est notamment intégré aux applications d'Apple, de Red Hat et de Microsoft et serait, selon le consortium, utilisé par 100 millions de personnes. Le consortium entend également pousser Kerberos vers les solutions mobiles et étendre ses possibilités d'authentification notamment aux transactions à distance. Enfin, il prévoit de l'aligner sur les standards de l'authentification actuels, comme SAML (Security Assertion Markup Language). (...)
(27/09/2007 16:13:05)Les cyber-criminels ciblent désormais Symbian et MacOS
Vous pensiez qu'il suffisait de protéger les PC de votre entreprise pour être en sécurité ? Détrompez vous, les cyber-criminels s'attaquent désormais à toutes les plateformes. « A l'heure actuelle, l'objet le plus sûr est la Nintendo Wii. Son usage en est limité, mais elle est garantie sans malware ou presque », affirme Costin Raiu, directeur R&D de l'éditeur de sécurité Kaspersky Labs, lors de sa présentation à l'ISSE (Information Security Solution Europe) qui se tient actuellement à Varsovie (Pologne). L'arrivée de Vista et l'intégration constante de nouveaux outils personnels dans les systèmes d'information expliquent que les pirates s'intéressent à de nouvelles plateformes, comme les téléphones sous Symbian OS ou les ordinateurs tournant sous Mac OS. « Vista a des outils de sécurité qui rendent obsolète la majorité des attaques actuelles. Et il y a de plus en plus de personnes qui utilisent des smartphones », explique Costin Raiu. « Certaines banques utilisent de tels téléphones pour une authentification à deux facteurs, mais les cyber-criminels réalisent des chevaux de Troie qui ressemblent à de véritables tokens. » Pire, les gangs de pirates s'organisent désormais comme de véritables équipes de développement, suivi de la qualité et spécialiste du marketing inclus. Ce qui peut se voir notamment dans les attaques par phishing de mieux en mieux ciblées. Pour s'en protéger, les développeurs doivent revoir leurs méthodes de développement des logiciels. En incluant, par exemple, la sécurité dans le cycle de vie du logiciel, pour éliminer la majeure partie des failles avant même son lancement. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |