Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 1631 à 1640.
| < Les 10 documents précédents | Les 10 documents suivants > |
(30/07/2007 12:42:02)
Les systèmes de vote électronique perforés par les chercheurs californiens
Une équipe de chercheurs de l'Université de Californie a passé les deux derniers mois à étudier la sécurité des machines de vote électronique de Diebold Election Systems, Hart InterCivic et Sequoia Voting Systems. Le résultat est accablant : « Les équipes de sécurité ont pu contourner les protections physiques et logicielles de chaque système qu'elles ont testé », a expliqué Debra Bowen, secrétaire d'Etat de la Californie. A ce titre, Debra Bowen est responsable de l'organisation des élections, et donc chargée de certifier les machines que les différents comtés de l'Etat pourront acheter. En tout, 15 problèmes ont été identifiés. Les chercheurs ont pu, par exemple, exploiter un bug de Windows pour accéder directement aux données du système GEMS de Diebold. Ils disent avoir réussi à obtenir un même niveau d'accès sur les WinEDS de Sequoia. Il était possible, disent les chercheurs, de faire en sorte qu'au redémarrage suivant, la machine charge un firmware pirate donnant le contrôle de la machine. De même, le remplacement du firmware de la machine de Diebold (« les testeurs ont trouvé plusieurs façon de faire », précise le rapport), a permis de modifier par la suite les droits d'accès et privilèges des utilisateurs, pour transformer un électeur en administrateur, par exemple. Des accès au système des machines Hart permettant de manipuler les résultats ont aussi été démontrés. Des défauts de protection aussi bien au niveau physique qu'au niveau logique Côté protection physique, le rapport des chercheurs relève que des vis du système de Sequoia n'étaient pas protégés, et que dans certains cas il était possible d'introduire des instruments sous des caches en plastique et de manipuler des boutons internes sans endommager les sceaux externes. « Avec des objets ordinaires », il était également possible de désactiver l'imprimante du système Diebold, pour empêcher toute vérification. Les résultats pour les machines d'ES&S (Election Systems & Software), utilisées dans le comté de Los Angeles, ne sont pas encore connus, le fabricant ayant tardé à soumettre son matériel à l'examen des chercheurs. Des porte-parole de Sequoia et de Diebold ont demandé un peu de temps avant de commenter les résultats de l'étude. Sequoia a toutefois déjà indiqué que les tests pratiqués ne reflétaient pas « les processus et les procédures employés lors de la tenue d'une élection normale ». Sachant que les prochaines élections en Californie ont lieu le 5 février, et qu'enlever la certification d'une machine de vote demande un préavis de 6 mois, Debra Bowen rendra ses conclusions le 3 août. (...)
(20/07/2007 12:06:25)90% des entreprises incapables de sécuriser leurs données
Une écrasante majorité d'entreprises (90%) ne sont pas capables d'appliquer des règles de conformité et de protéger leur système d'information. Telle est la conclusion des membres de l'IT Compliance Group au vu des résultats d'une enquête conduite auprès de 475 entreprises américaines, dont un tiers réalise un CA supérieur à 1 Md$. Il n'y aucune raison objective pour que les entreprises françaises fassent mieux. Bien au contraire, puisque la loi ne les oblige pas à déclarer leurs failles. Aux Etats-Unis, cette mesure pousse les entreprises à la célérité. La difficulté à la mettre en application explique aussi le nombre d'entreprises qui se déclarent en faute. En effet, comment avoir la certitude que l'on a été victime d'une attaque dont la réussite dépend justement de sa discrétion ? La plupart des entreprises interrogées s'attendent à au moins six incidents graves par an ayant trait aux données ainsi qu'à autant de vols ou de pertes de données. Alors qu'on leur demande la mise en place d'une traçabilité fine de l'accès et de la modification des données, les entreprises en sont encore à tenter de colmater les failles qui les menacent. L'étude montre que, sous la pression légale, les entreprises découvrent qu'elles n'ont quasiment pas de contrôle sur l'ensemble des données sensibles qu'elles manipulent. Ces pertes de données ont un coût. De tels accidents peuvent entraîner une chute de 8% du cours de leur action et la perte d'autant de clients. (...)
(18/07/2007 11:43:07)Palmarès des principales hantises des DSI
D'après CIO Connect - une organisation britannique semblable au Cigref français -, le management, la gestion des salariés ainsi que les problématiques de sécurité font partie des préoccupations majeures des responsables informatiques. « Cela peut paraître surprenant, mais la principale préoccupation des DSI consiste à mettre en adéquation les besoins engendrés par le business et les technologies informatiques, notamment au niveau de l'accessibilité aux ressources de l'entreprise», déclare Nick Kirkland, directeur marketing de CIO Connect. Autre défi : les DSI doivent améliorer leur prise en charge de la gestion du changement, « et cela prend souvent beaucoup de temps », souligne Nick Kirkland. Ce même consultant rajoute que « le principal souci des DSI, ce n'est pas la techno pure et dure. L'enjeu peut se résumer ainsi : améliorer la gestion du personnel, se focaliser sur la communication interne ainsi que contrôler et accompagner le changement ». En quatrième position, on retrouve des problématiques liées aux ressources humaines. La « génération iPod ou Google » - comme la surnomme l'étude - avance des prétentions bien différentes de celle de ses prédécesseurs. Pour ces nouveaux utilisateurs, la mobilité fait partie du lot quotidien (changement de service, déménagement...). Les salariés bougent dans l'entreprise, et ils considèrent que la technologie doit s'adapter à ce nouveau type de nomadisme. La sécurité des systèmes d'information constitue la cinquième préoccupation des DSI. « Elle représente deux défis majeurs : le contrôle des accès, et la réduction des fuites d'information. Cette dernière peut avoir des conséquences dramatiques, car outre la perte concurrentielle, elle implique directement la responsabilité du DSI. (...)
(17/07/2007 11:07:38)Vague de spams par PDF selon Commtouch Software
Commtouch Software, une société israélienne de services informatiques, avertit les internautes contre un nouveau type de menace, le spam exploitant le format PDF. D'après Commtouch, utilisateurs comme prestataires de services sécurité s'accordent à dire que les spams textuels et même à base d'images sont sur le déclin. Mais les pollueurs du net regorgent d'imagination pour contourner les obstacles des éditeurs d'anti-spams. Un nouveau type de danger est en train d'émerger, le spam PDF. Il sert en général à duper le destinataire dans le but de l'inciter à acheter des actions dans une entreprise. En juin dernier par exemple, un polleur avait lancé une gigantesque campagne de spams PDF (plus de 5 milliards d'envois) afin de vendre des actions Talktech / Telmedia qu'il avait acquises à bas prix. Une réussite, puisque la valeur de l'action a augmenté de 20% dans la journée. Toujours d'après Commtouch Software, entre 10 et 15% des spams que les entreprises reçoivent actuellement proviendraient de cette nouvelle génération de courriers pollueurs. Vu le poids des messages (ils sont en moyenne trois à quatre fois plus lourds que les spams classiques), cette vague a entraîné une augmentation du trafic Internet de 30 à 40%. Mais comment le spam PDF parvient-il à échapper aux filtres ? La technique est simple : le message n'est plus affiché dans le titre, le texte ou la photo du mail, mais dans un fichier PDF attaché. Les filtres actuels ne sont pas encore capables de les déchiffrer, de les détecter et de les bloquer. Par ailleurs, le spam PDF circule en général via un réseau de « PC zombies » dispatchés dans le monde entier... donc difficiles à localiser. (...)
(16/07/2007 16:45:42)Quarante-six rustines en vue chez Oracle
A peine l'annonce de la version 11g de son SGBD achevée, Oracle se prépare à livrer dans le cadre de son Critical Patch Update trimestriel la bagatelle de 46 rustines pour ses applicatifs. Soit 9 de plus que lors de la précédente livraison, en avril dernier. Il faudra appliquer vingt rustines à 10g (dont deux pour empêcher l'exécution de code à distance), quatorze à la suite E-Business (dont trois pour éviter l'exécution de code à distance). Quant à celles pour Oracle Application Server, deux sur quatre permettent aussi d'éviter le même danger. Les autres rustines s'adressent à l'ensemble des autres produits de l'éditeur. (...)
(13/07/2007 17:36:26)Les entreprises craignent les failles des outils Google
Dans les entreprises, il n'y aura pas d'état de grâce pour Google. Quels qu'ils soient, les outils que leur propose le moteur de recherche seront scrutés avec la plus grande attention au niveau de la sécurité. Lundi prochain, paraîtra une étude réalisée aux Etats-Unis par l'institut Ponemon auprès de 600 responsables de la sécurité des systèmes d'information. 71% d'entre eux ont la conviction que Google Desktop, le moteur de recherche en local, renferme des failles de sécurité. Et 81% désapprouvent l'idée qu'un outil Google installé sur une machine puisse obéir à des requêtes transmises depuis l'extérieur. Pour l'institut Ponemon, ces deux données montrent que les informaticiens en entreprise sont sur leur garde vis-à-vis des menaces que font courir les applicatifs de Google à leur système d'information. Toujours selon Ponemon, Google aura beau y faire, les responsables informatiques craignent une offensive généralisée des pirates et autres hackers contre les outils Google dès qu'ils seront déployés en entreprise. Pour les hors-la-loi, le modèle Google présente l'avantage de leur procurer un excellent retour sur investissement. Dès qu'une brèche est ouverte, elle donnera accès à une énorme quantité de données sensibles. Chez Google, tout en soulignant la dimension à charge de l'enquête de Ponemon, on souligne que plus de 1000 ingénieurs se consacrent au test de la sécurité des services maison. Et si l'on reconnaît qu'une faille donnerait accès à beaucoup d'informations, on fait remarquer, a contrario, qu'il suffit de poser une seule rustine pour que tous les utilisateurs soient à nouveau protégés. (...)
(13/07/2007 16:56:07)Les labos de HP Inde veulent sécuriser les données imprimées
Connecter les données imprimées à un réseau pour en vérifier l'autenthicité. Un défi que les laboratoires indiens de HP viennent de relever en élaborant une technologie combinant le traditionnel support papier à un procédé électronique capable de transmettre des données à un serveur. Son utilité : sécuriser toute forme de document et se prémunir contre les contrefaçons et la fraude. Les équipes de HP sont parties du principe que les autorités ne peuvent pas vérifier en temps réelle l'authenticité d'un document - s'il a été modifié par exemple -, comme un permis de conduire par exemple, sans avoir à le renvoyer aux autorités compétentes. C'est pour résoudre ce type de problèmes très concrets que HP a développé sa technologie Trusted Hardcopy, qui encapsule un ensemble de données dans un code barre en 2D, imprimé au dos d'une feuille de papier. Combiné à un logiciel adéquat, ce code barre peut être lu et enregistré par un scanner classique, puis confronté à une base de données hébergée par l'institution qui a édité le document certifié. En guise de pilote, HP a implémenté son système dans l'International Institute of Information Technology de Bangalore, où les étudiants peuvent désormais récupérer leur dossier scolaire complet selon ce procédé. « Notre logiciel est relié à la base de donnée, de façon à ce qu'à chaque fois qu'une impression est réalisée, il édite un code barre que l'on intègre », explique K.S.R Anjaneyulu, directeur du département qui a développé le projet chez HP. Outre l'aspect sécurité du procédé, HP explique que Trusted Hardcopy peut éviter d'entrer manuellement les données alors contenues dans le code barre. Les divisions commerciales de HP estiment qu'il existe un marché pour les agences gouvernementales. Car « les documents papier seront toujours utiliser dans le monde et pas uniquement en Inde ». Ce qui pousse les labos de HP à expérimenter leur solution pour des utilisations liées à la mobilité. Comme doter Trusted Hardcopy du support de l'appareil photo embarqué dans les téléphones mobiles de façon à photographier le code barre pour le transmettre pour vérification. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |