Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 1871 à 1880.
| < Les 10 documents précédents | Les 10 documents suivants > |
(14/12/2006 18:23:59)
Le gouvernement alloue une enveloppe d'urgence de 300 000 euros à la CNIL
Le cri d'alarme de la CNIL a partiellement été entendu par le gouvernement qui vient d'allouer une enveloppe d'urgence de 300 000 euros à l'autorité pour lui permettre de boucler ses fins de mois. Le 22 novembre dernier, nous écrivions que la CNIL affichait un déficit de 522 000 €, notamment du fait de la hausse des coûts liée à l'extension de ses missions, mais aussi au gel de 300 000 € de crédits du fait de restrictions budgétaires imposées par son ministère de tutelle (la Justice). A l'époque, Alex Türk, son président, avait souhaité la "sanctuarisation" du budget de la CNIL afin de se prémunir d'amendements parlementaires visant à remettre en question son budget de fonctionnement et de ne plus dépendre d'un rattachement budgétaire au sein d'un programme ministériel. La CNIL avait aussi demandé une revue à la hausse de son budget pour tenir compte de l'accroissement de ses missions (augmentation de 570 % de l'activité, de 300 % des contrôles, doublement des sanctions en 2006). Sur ce point, la bataille est encore loin d'être gagnée. Tout d'abord, les cyniques constateront, que l'enveloppe de 300 000 € accordée par le gouvernement ne vient que compenser le gel de 300 000 € effectué précédemment. D'autre part, l'annonce par le premier Ministre de la mise en place d'une "mission de réflexion (...) pour faire toute proposition relative à la situation budgétaire des autorités administratives indépendantes" ne devrait pas produire de résultats rapidement. En attendant, la CNIL continue de fonctionner avec un budget d'environ 9 M€ alors qu'elle estime son besoin à environ 18 M€ pour accomplir efficacement sa mission. (...)
(12/12/2006 16:11:53)Sun renforce les fonctions de sécurité et de virtualisation de Solaris 10
Sun vient d'entamer la distribution de la version datée novembre 2006 de son Unix Solaris 10. Cette nouvelle mouture, référencée Solaris 10 11/06, se distingue notamment par l'intégration de fonctions de sécurité et de virtualisation, jusque là proposées uniquement en option. En effet, Solaris 10 11/06 embarque directement Solaris Trusted Extensions, un dispositif de sécurité multi-couches permettant d'attacher un profil de sécurité à chaque objet manipulé par le système d'exploitation. Solaris 10 11/06 intègre également la technologie de virtualisation Solaris Containers qui permet de faire fonctionner des applications dans des environnements virtualisés sécurisés. Solaris Containers a été présenté il y a un peu plus d'un an, dans une version limitée aux applications Linux, comme la version 2.0 du projet Janus, qui devrait permettre de faire fonctionner des applications binaires Linux sous Solaris x86 sans modification. L'intégration de l'hyperviseur de Xen à Solaris, annoncée fin juin dernier, n'est pas au menu de Solaris 10 11/06. Elle devrait se concrétiser avec la prochaine mise à jour de l'Unix de Sun, attendue pour le premier semestre 2007. Sun revendique le statut de système d'exploitation le plus sûr jamais conçu pour cette nouvelle version de Solaris 10. Cette dernière est d'ailleurs en train de passer les tests de certification gouvernementale américains sur la base de la spécification EAL (Evaluation Assurance Level) 4+ avec trois profils de protection. Notons que Windows Server 2003 SP1, ainsi que cinq autres produits Microsoft, ont obtenu la certification EAL4+ en décembre 2005. (...)
(11/12/2006 17:41:36)Un projet pour détecter les failles dans les applications Java
Fortify Software et le projet FindBugs viennent de lancer un service gratuit permettant d'analyser le code Java d'une application pour localiser d'éventuelles failles. Le projet Java Open Review (JOR) permet aux développeurs d'analyser leur code en utilisant l'outil FindBug de l'université du Maryland et les outils de Fortify. Les outils d'analyse de code de Fortify permettent de détecter environ 120 types de problèmes de sécurité, mais la version en ligne sur le site JOR n'en recense qu'une quarantaine, parmi les plus courantes. Le site est ouvert à tous les développeurs d'applications Java libres désireux d'utiliser ses services. (...)
(11/12/2006 14:26:30)La tension monte entre Oracle et les chasseurs de bugs
Oracle ne goûte guère le travail effectué par les indépendants à la recherche des failles dans ses produits. Les tensions entre l'éditeur et les chasseurs de bugs croissent depuis plusieurs semaines et opposent deux visions : d'un côté, celle d'Oracle, qui reproche aux "bug hunters" leur incursion sur un terrain qui ne devrait pas être le leur ; de l'autre, celle des indépendants, qui pointent du doigt les pratiques d'Oracle en matière de sécurité. Le 27 novembre, Eric Maurice, un des responsables de la sécurité d'Oracle, indiquait ainsi que son groupe attachait la plus grande attention au traitement des vulnérabilités mais qu'il s'arrogeait le soin de les traiter dans l'ordre qu'il jugeait le plus opportun. Selon Eric Maurice, peu importe l'auteur de la découverte de la faille, seul compte le risque qu'elle fait courir. Dans le même esprit, il s'en est pris aux spécialistes en sécurité mettant à jour les failles dites zero-day avant même que les éditeurs ne publient leurs rustines : "de telles pratiques sont irresponsables et aboutissent à exposer inutilement les utilisateurs à des risques d'attaque". Un avis qui tombe comme une réponse aux nombreuses critiques adressées ces dernières semaines au groupe. C'était notamment le cas avec Next Generation Security Software, une entreprise britannique, qui indiquait récemment que les bases de données Oracle comportent davantage de failles que celles liées à Microsoft SQL Server. De l'autre côté de l'Atlantique, en Argentine, un spécialiste de la sécurité avait annoncé - avant de subitement abandonner son projet - qu'il dévoilerait une faille zero-day par jour en décembre. S'il a tiré un trait sur son projet, il explique néanmoins que les éditeurs, dont Oracle, devraient davantage se focaliser sur un développement "responsable" que de s'attaquer aux "pratiques de révélation des failles". (...)
| < Les 10 documents précédents | Les 10 documents suivants > |