Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 1651 à 1660.
| < Les 10 documents précédents | Les 10 documents suivants > |
(10/07/2007 11:16:54)
La prolifération de comptes email, vecteur de perte d'informations
La prolifération des messages combinée à une multiplication des adresses email sans vraie gestion, constitue une source de perte d'informations pour les entreprises, révèle une étude sponsorisée par JPY, éditeur d'outils de gestion de messagerie. Alors qu'à sa création, l'email était considéré comme un canal de communication rapide, destiné à doper la productivité des entreprises, son utilisation non contrôlée aurait ainsi un effet inverse. Outre le casse-tête que sa gestion représente pour les directeurs informatiques, le déluge de messages - uniquement les messages valides et non les spams - issus de comptes différents occasionnerait des troubles dans la chaîne de données échangées en entreprise. Sur les 500 utilisateurs professionnels sondés, les trois-quart affirment détenir trois comptes de messagerie ou plus. Pire, presque 14% affirment posséder au moins 10 adresses. Si les différents « alias » servent notamment à catégoriser et classer les emails, il en résulte au final un mode de gestion infernal. L'étude explique par exemple que les adresses personnelles sont utilisées fréquemment pour faire transiter des information liées à l'entreprise vers une adresse professionnelle. Sans compter sur les messages sauvegardés sur les boîtes de collègues absents dont on doit quérir le mot de passe auprès d'une DSI surchargée. Deux-tiers y ont déjà eu recours. Presque 60% des personnes interrogées usent de leur boîte personnelle pour envoyer des messages à caractère professionnel. Et pour 8 utilisateurs sur 10, c'est la messagerie de l'entreprise qui sert à envoyer et recevoir des emails personnels. Autant d'imbrications qui donnent le tournis à la DSI. (...)
(10/07/2007 10:10:52)La durée de vie moyenne d'une faille est de 348 jours
Selon Justine Aitel, PDG du spécialiste en sécurité Immunity, il s'écoule en moyenne 348 jours entre la découverte d'une faille et son annonce publique ou mieux, la publication du correctif correspondant. Immunity, qui achète des failles de sécurité avant que celles-ci ne soit rendues publiques pour en intégrer les protections à ses logiciels, garde régulièrement une trace de ses failles. Les plus évidentes sont rendues publiques en 99 jours, et les plus longues ont tenu 1080 jours, soit près de trois ans ! « Les bugs meurent lorsqu'ils sont rendus publics », explique Justine Aitel. « Et ils meurent à nouveau lorsqu'ils sont patchés. » Elle incite d'ailleurs les responsables informatiques à ne pas attendre les publications de failles pour protéger leurs logiciels. C'est en amont qu'elles sont les plus dangereuses : « D'énormes sommes d'argent sont offertes pour des failles « zéro day » (NDLR, non-encore publiée) ». Et si des sociétés comme la sienne existent, les cyber-criminels ont de gros moyens financiers à leurs dispositions. Pour se protéger, selon Justin Aitel, les sociétés doivent faire des audits de sécurité - interne comme externe - réguliers. « Partez du principe que tous les logiciels ont des trous. C'est vrai : ils en ont. » Notons par ailleurs que les politiques de diffusion de correctifs de certains éditeurs suivent un calendrier rigoureux. Chez Microsoft, par exemple, les rustines sont distillées une fois par mois - le deuxième mardi- à l'occasion du sempiternel Patch Tuesday. D'autres attendent pour délivrer d'un bloc un ensemble de correctifs. Ces initiatives peuvent ainsi décaler la publication de la rustine, de sa découverte souvent réalisée bien plus en amont. (...)
(09/07/2007 17:35:16)La Cnil lance une alerte à la société de surveillance
La Commission nationale de l'informatique et des libertés (Cnil) tire un bilan inquiétant de son activité en 2006. Cette dernière ne cesse de croître, menace de plus en plus directement la vie privée alors que les moyens pour contrôler et la volonté politique font défaut.
La numérisation de la société et les gisements de contrôle et de fichage qui en découlent se sont traduits par une augmentation de 570% de l'activité de la Cnil en trois ans.
Alors que les dernières déclarations de Nicolas Sarkozy, Président de la République, montrent que 2007 sera l'année de l'explosion de la vidéosurveillance, la Cnil lance "une alerte à la société de surveillance" qui menace "la protection des données et nos libertés". Le nombre de déclarations de mises en place de systèmes de surveillance est passé de 300 en 2005 à 880 l'an dernier. Une augmentation qui n'est rien par rapport à la multiplication par dix en un an des dispositifs biométriques à propos desquels la Cnil se dit "vigilante mais préoccupée".
La Cnil s'inquiète que les traitements et la conservation des données se fassent à l'insu des personnes et que les moyens de contrôle ne suivent pas le développement des activités à contrôler.
Pour Alex Türk, président de la Cnil, " Le temps technologique accélère constamment, tandis que le temps juridique demeure particulièrement lent." Surtout si l'on se souvient que, fin novembre 2006, le président de la Cnil constatait qu'un budget de 9 M€ et des effectifs de 90 personnes en faisait l'autorité indépendante la moins bien lotie d'Europe.
Alors qu'elle n'a commencé à user de son pouvoir de sanction qu'en juin, la Cnil a mis à l'amende seize sociétés en douze mois.
En septembre dernier, le Crédit Lyonnais a décroché un double record : à la fois celui d'être le premier à écoper d'une amende d'un montant jusque-là inégalé : 45 000€. La banque avait non seulement inscrit abusivement un de ses clients au fichier central "retraits CB" mais aussi entravé l'enquête de la Cnil.
Le rapport 2007 risque d'être aussi angoissant que les précédents.
Sur le même sujet
- La Cnil réclame des moyens et regrette des « échecs sanglants » chez notre confrère www.cio-online.com
- La Cnil condamne le Français Tyco Healthcare à 30 000 € d'amende
(...)
Les médias amovibles de plus en plus vecteurs de virus
Le gag de la clé USB trouvée par hasard dans un parking contenant non pas la grille des salaires des dirigeants tenue secrète, mais un bon vieux virus, n'en est pas un. C'est la meilleure démonstration des menaces que font peser les médias amovibles sur les systèmes d'information des entreprises. La société Eset constate une nette augmentation des attaques qui utilisent les médias amovibles comme vecteur. En un mois, Win32/Rjump est passé de la cinquième à la troisième de son top 10 des menaces. Même son de cloche chez Sophos qui, de son côté, s'inquiète de la mort d'Harry Potter ou, plutôt, du fichier .doc vérolé qui contient cette information. Là encore, le vecteur de propagation est les médias amovibles comme les clés USB. Bien sûr, cette tendance ne risque pas de détrôner Internet comme vecteur numéro un. Mais elle constitue une sorte de retour en arrière, à l'ère pré-internet, lorsque les virus n'avaient que les disquettes pour contaminer d'autres hôtes. La touche de modernité revient à l'exploitation des fichiers autorun.inf qui permettent de lancer automatiquement des programmes à l'insertion du média. On imagine l'ampleur des dégâts potentiels. Par ailleurs, notre confrère Network World nous apprend qu'en juin, avec 40% des programmes toxiques mondiaux émis depuis ses murs, Pékin était devenue la plaque tournante mondiale. C'est deux fois plus qu'en mai (21%). Cette explosion serait due à un double facteur : l'augmentation du nombre d'internautes et l'utilisation massive de logiciels piratés qui ne disposent donc pas de mises à jour de sécurité. (...)
(06/07/2007 15:27:20)Trois rustines critiques sur six dans la prochaine fournée de Microsoft
Mardi prochain, le 10 juillet, Microsoft livrera six rustines de sécurité. La moitié d'entre elles sont notées "critiques", le niveau d'alerte le plus élevé dans la classification de Microsoft. Ces rustines critiques concernent Windows Server 2000 et 2003, Excel et .Net 1.0, 1.1 et 2.0. Les failles critiques de .Net sont aussi présentes sous Windows Vista. (...)
(06/07/2007 11:32:39)Une place de marché pour les failles de sécurité
Les experts en sécurité peuvent désormais monnayer leurs exploits aux enchères sur Wabisabilabi. La société suisse WSLabi, spécialisée dans la sécurité informatique, a en effet ouvert depuis mardi 3 juillet cette place de marché où les chercheurs, les spécialistes de la sécurité et les éditeurs de logiciels peuvent s'échanger des informations sur les failles les plus récentes trouvées dans les logiciels. Ceci afin d'éviter que « les chercheurs soient contraints de donner leurs travaux gratuitement à la communauté, ou de les vendre à des cyber-criminels », selon le communiqué de presse de lancement. La société s'engage d'ailleurs à vérifier l'identité des acheteurs pour éviter que ces failles arrivent dans de mauvaises mains. Pour l'instant, quatre failles sont à vendre pour des prix allant de 500 à 2000 €. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |