Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 1581 à 1590.
| < Les 10 documents précédents | Les 10 documents suivants > |
(21/09/2007 16:15:52)
Les bogues de VMWare soulignent les failles de la virtualisation
Alors que la virtualisation se glisse de plus en plus dans les systèmes d'information, une équipe de chercheurs IBM a mis la main sur une série de failles touchant de près ESX Server. Si VMWare, son éditeur, comblait dans la foulée cette série de douze trous dans une mise à jour livrée hier jeudi 20 septembre, cet épisode mettait en avant les quelques faiblesses d'une technologie très à la mode. Les trois failles, pointées du doigt par IBM et jugées critiques pour les utilisateurs d'ESX Server, frapperait le serveur DHCP (Dynamic Host Configuration Protocol) livré avec l'application. Ce logiciel, qui répartit les adresses IP entre les différentes machines virtuelles, pourrait ainsi servir à prendre la main à distance sur le serveur. Pour Tom Cross, chercheur à l'Internet Security Group d'IBM : « en prenant le contrôle de la machine, l'attaquant peut accéder à n'importe quelle machine virtuelle présente. » Un point gênant car les chercheurs - et les entreprises - utilisent souvent des machines virtuelles pour isoler certaines applications sensibles. Un danger confirmé par Dave Aitel, directeur technique d'Immunity, un éditeur spécialisé dans la sécurité. « Les serveurs font souvent tourner une application vulnérable sur une machine virtuelle et ont des informations confidentielles sur une autre, isolées par VMWare. VMWare ESX est devenu très populaire parmi les environnements hôtes, ce type de bogue peut prendre des proportions effarantes si vous trouvez une faille distante sur une machine virtuelle. » Les machines virtuelles, prochaines bêtes noires des éditeurs Une autre faille, découverte par les équipes de McAfee, permettrait également de prendre le contrôle de machines virtuelles, mais elle serait plus complexe à mettre en place. Toutefois, pour David Marcus, chercheur chez McAfee, l'existence même de ces exploits va pousser les chercheurs en sécurité informatique à s'intéresser de plus près aux machines virtuelles : « si vous pouvez attaquer une machine virtuelle et de là passer sur le système d'exploitation hôte, alors vous avez la mainmise sur toutes les machines virtuelles présentes. » (...)
(20/09/2007 08:39:18)Les politiques de sécurité manquent de structure, estime Gartner
Selon Les Stevens, analyste chez Gartner, il est primordial pour les entreprises d'établir une politique de sécurité claire et assimilable par tous les employés. Pour cela, elles doivent avant tout identifier les facteurs clés de cette politique, garantissant le succès ou conduisant à un échec de leur plan de gestion . «Beaucoup d'entreprises ont négligé d'apprendre les actions à mener pour développer une politique de sécurité», a-t-il déclaré lors de l'IT Security Summit de Londres. Elles ont davantage mis l'accent sur la satisfaction des responsables et leur capacité à mener à bien les audits. Leur attention ne s'est pas assez focalisée sur les besoins liés à l'activité, en termes de risques et d'implémentation. Selon l'analyste, le contenu de la politique doit «être clair et concis, définir les rôles et les responsabilités de chacun et faire apparaître de façon claire les conséquences du non respect des règles par le personnel». De plus, il doit être rédigé dans une langue compréhensible par tous. Sa mise en oeuvre doit être adaptée à la culture de l'entreprise, régulièrement revue et maintenue à jour. Enfin, les entreprises doivent être auditées pour vérifier la bonne correspondance entre la politique déployée et leurs activités. Pour mettre en place une politique de sécurité de façon optimale, les entreprises doivent utiliser une charte, associée à des règles génériques et d'autres plus spécifiques en fonction de chaque département. Les responsables informatiques et directeurs exécutifs devraient, selon Les Stevens, avoir la responsabilité du développement de la politique, tandis qu'un comité aurait la charge de l'approuver et de l'implémenter. (...)
(17/09/2007 09:54:06)Barracuda s'attaque à la sécurisation des applications web
Barracuda vient d'officialiser le rachat du Californien Netcontinuum, un fournisseur de pare-feu web. En matière de sécurisation des flux web, l'acquéreur se contentait jusqu'ici de proposer des boîtiers dédiés au filtrage d'URL, chargés d'empêcher les utilisateurs d'accéder à des sites web jugés dangereux. Avec la technologie de Netcontinuum, le fournisseur s'attaque à la protection des applications web elles-mêmes. Créé en 1999, Netcontinumm a basé sa stratégie sur la fourniture de boîtiers de sécurité pré-configurés qui protègent les applications web de menaces comme le Cross Site Scripting ou les attaques par injection SQL. Barracuda, que l'on connaît surtout pour ses solutions antispams, a en fait finalisé son rachat à la mi-août. Le montant de la transaction n'a pas été rendu public. Elle permet à Barracuda d'ajouter à son offre un nouveau type de boîtier de sécurité qu'il compte voir adopté par sa base installée de clients. Le fournisseur prévoit d'améliorer l'interface utilisateur mise au point par Netcontinuum et de vendre finalement ces boîtiers sous la dénomination Barracuda Web App Controller. Les produits devraient être proposés au même niveau de prix que celui pratiqué par Netcontinuum, c'est à dire de 30 000 à 50 000 $ selon les capacités de traitement. (...)
(14/09/2007 17:17:15)Google promeut un standard pour la défense de la vie privée
Google souhaite que les gouvernements et les entreprises IT du monde entier adoptent une approche standard du traitement des questions relatives à la vie privée sur le Web. C'est la position que doit défendre Peter Fleischer, le conseiller juridique du groupe, devant une conférence organisée à Strasbourg par l'Unesco. Selon le juriste, les organisations internationales et les entreprises privées doivent dialoguer davantage sur les questions de respect de la vie privée dans le but de définir un standard. Si le groupe esquisse les contours de ce que devrait être ce standard (le produit d'une auto-régulation des entreprises, amélioré par les lois existantes et éventuellement de nouvelles), il refuse d'être trop précis : « nous ne voulons pas décider qui fait quoi, ou ce que sont ces standards car ils doivent être le résultat d'un effort collaboratif », précise ainsi le porte-parole du géant de Mountain View. Google semble prendre modèle sur les travaux de l'Apec, la coopération économique Asie-Pacifique, qui a élaboré un ensemble de neuf règles relatives au traitement de la vie privée. Ces mesures font néanmoins l'objet de critiques en raison de leur caractère flou et ne sont que partiellement mises en place par les membres de l'Apec, explique David Bradshaw, analyste pour Ovum. Les exigences de l'UE en matière de protection de la vie privée vont, en outre, au-delà ces principes posés par l'Apec. De fait « Google ne peut espérer que l'Union européenne et tous les pays qui disposent de standards supérieurs acceptent de les revoir à baisse pour les aligner sur ceux de l'Apec », poursuit-il. L'initiative de Google est d'autant plus remarquable que le moteur de recherche a, encore récemment, fait l'objet de nombreuses critiques sur son traitement des données personnelles de ses utilisateurs. En juin, le groupe acceptait de ramener la durée de conservation des logs à 18 mois après avoir essuyé les foudres d'un groupe de travail de l'Union européenne. Au cours du même mois, l'ONG Privacy International jugeait Google « hostile à la vie privée » et pointait du doigt « la surveillance totale des utilisateurs ». (...)
(14/09/2007 17:13:17)Des plans de continuité d'activité souvent obsolètes
Pour Richard Jones, auteur de l'étude « Survival of the Fittest : Disaster Recovery Design for the Data Center » et vice-président du cabinet d'analyse américain Burton Group, la plupart des plans de continuité d'activité des entreprises ne tiennent compte ni des besoins, ni des capacités techniques actuelles. Il souligne même que plus d'un tiers des sociétés n'ont même pas testé leur DRP (Disaster Recovery Plan) dans l'année écoulée. « Certains événements récents, comme l'ouragan Katrina ou la tempête de neige qui a paralysé la compagnie aérienne Jet Blue (NDLR : le 14 février dernier), montrent combien une interruption de la continuité de services peut être onéreuse pour une société. » Et il avance six causes pour cette situation : un marché global qui met en compétition des sociétés de toutes tailles, une production et une distribution en temps réel, une diminution des budgets alloués à l'IT qui force à utiliser les hommes et le matériel en permanence à 100% de leurs capacités, l'explosion de la quantité de données à traiter, et la multiplication des réglementations qui obligent à conserver leurs données plus longtemps. Sans compter une multiplication par deux en trente ans des désastres humains et naturels. De plus, si la capacité des bandes magnétiques double tous les deux ans, celle des disques durs est multipliée par dix tous les cinq ans. Il est alors tentant de passer à une sauvegarde sur disque. « La croissance du stockage sur disque associée à la consommation de cet espace de stockage par une multiplication du contenu numérique a abouti au pire cauchemar de l'administrateur : une sauvegarde qui ne s'effectue pas dans le temps imparti », affirme Richard Jones. L'une des solutions qu'il propose est de tirer parti d'Internet et des technologies associées pour s'adresser à des centres d'hébergement. Tout en reconnaissant que « la co-location n'est pas valable pour toutes les entreprises, ni pour tous les systèmes à l'intérieur de l'entreprise ». (...)
| < Les 10 documents précédents | Les 10 documents suivants > |