Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 2271 à 2280.
| < Les 10 documents précédents | Les 10 documents suivants > |
(21/12/2005 18:12:24)
Sécurité : naissance du consortium AppSIC
Qu'ont donc en commun Microsoft, Red Hat, Oracle, IDC, Gartner Group, SAP, Compuware ? L'Application Security Industry Consortium (AppSIC) est une communauté d'experts en sécurité et en technologie qui s'est donné comme mission d'établir et de définir des standards et des métriques de sécurité pour le développement des applications. Fondée par Edward A. Adams, PDG de Security Innovation, elle rassemble les sociétés précédemment citées et quelques autres. Un des objectifs de ce consortium est de réduire le gouffre entre les problèmes techniques et les besoins métier, c'est-à-dire transformer les pratiques et les actions de sécurité à travers tout le cycle de développement (depuis les exigences jusqu'au déploiement) en retour sur investissement. Le consortium va permettre aux responsables réseaux et sécurité de faire les bons choix, en définissant des guides, des mécanismes et une méthodologie d'évaluation des produits de sécurité. Le consortium va également promouvoir et diffuser de la connaissance sur la sécurité des applications, notamment des guides pratiques d'implémentation de la sécurité tout au long du cycle de développement et des guides pour évaluer si une application est conforme au niveau de la sécurité. C'est la première fois que l'on retrouve dans ce genre de consortium à la fois des éditeurs de logiciels et de plates-formes (Oracle, SAP, Microsoft), des utilisateurs finaux (ING, Crédit Suisse) er des cabinets d'analystes (IDC, Gartner Group). Source : www.appsic.org (...)
(19/12/2005 17:50:50)L'IEEE propose deux standards pour le chiffrement des données sur disque et sur bande
Le groupe de travail sur le stockage de l'IEEE est en train de finaliser deux standards pour le chiffrement sur supports partagés, les P1619 et P1619.1. Ces deux nouveaux standards ont l'ambition de proposer un cadre de chiffrement normalisé pour les données sur disque et sur bande. Leur but est de répondre aux éventuelles obligations auxquelles des secteurs d'activités comme celui de la finance pourraient, un jour, devoir se conformer. Les deux standards définissent trois algorithmes de chiffrement et une méthode de gestion de clés qui doivent garantir la compatibilité et l'interopérabilité entre équipements d'origines différentes. Pour le stockage sur disque, c'est l'algorithme cryptographique LRW-AES qui est proposé, contre l'AES-GCM et l'AES-CCM pour les bandes. L'IEEE pourrait approuver ces nouveaux standards dès l'an prochain. (...)
(16/12/2005 17:01:37)Le courriel efficace à 17%... et encore !
Les saturés de statistiques sur les spywares, les blasés du Spam peuvent, doivent se plonger dans cette étude conduite par Tumbleweed : Selon ce spécialiste du courrier électronique, 83 % du trafic smtp serait constitué de bruit totalement inutile, principalement le résultat de robots de récolte d'adresses email (27%), d'attaques en déni de services (4%) ou de courriers expédiés à des adresse inexistantes ou des correspondants non référencés (52 %). Seulement 17 % des échanges smtp destinés à une adresse officielle pourrait être considéré comme valide... et 60 à 70 % de ces messages seraient constitués de spam. Ce qui ne fait pas lourd à l'arrivé. De manière originale, l'étude s'intéresse à ce qui se passe sur le réseau smtp, en tentant de ne surtout pas limiter les mesures au seul pourriel ou aux rares métriques que fournissent les passerelles de sécurité LAN. Car il n'y a pas que du courrier sur le port 25. Et les choses, semble-t-il, ne font qu'empirer. Au début de l'année 2005, les missives « valide », autrement dit tout ce qui parvient à atteindre une boite à lettre électronique, spam y compris, constituait 36 % du trafic smtp (contre 17% au troisième trimestre 2005 rappelons le). Durant cette même période, le volume des « DHA » (Directory Harvest Attack, piratage d'annuaires mail) passait de 10 à 27 % des flux de messagerie. Si les 4 petits pourcents d'attaques en déni de service peuvent sembler peu critiques, il faut remarquer qu'ils n'atteignaient pas 1% des échanges smtp en ce début d'année... ils ont donc connu une croissance de 400 % sur 9 mois. Tout ceci pour quoi ? pour alimenter les caisses noires du spamming, bien entendu. Mais Tumbleweed y ajoute un autre éclairage : l'augmentation des DHA servirait également à récolter des crédences complètes sur un réseau. Les mots de passe employés étant souvent très simples à casser, et les alias smtp étant généralement utilisés en guise de « logon name », le travail des pirates s'en trouve grandement facilité. Ce monstrueux gaspillage de ressources et de bande passante se passe pourtant dans l'indifférence générale. (...)
(15/12/2005 17:54:31)Adobe va publier ses rustines mensuellement
Adobe a décidé de suivre les exemples de Microsoft et d'Oracle et de publier chaque mois ses rustines. Le jour de la mise à jour n'a pas encore été fixé mais ce système devrait être mise en place dès le début de l'année. Adobe explique ce choix par la volonté de ses clients qui « n'aiment pas les surprises ». Les entreprises pourront ainsi planifier le jour des mises à jour en matière de sécurité. Le cabinet d'études Gartner estime que cette pratique, lancée par Microsoft, devrait devenir un standard. Mais ce rendez-vous mensuel ne résoudra pas tous les problèmes, en particulier celui de la pertinence. Adobe devra faire un effort pour expliquer quelles sont les corrections les plus importantes à ne pas manquer dans la masse des informations délivrées. (...)
(14/12/2005 17:24:54)Les nouvelles règles de rétention des données sont adoptées
Le parlement européen vient d'adopter le projet de directive européenne sur la conservation des détails de communications. Soutenu par 387 eurodéputés, le projet n'a essuyé que 204 oppositions et 29 abstentions. Il fixe un délai minimum de conservation des détails de communications par les opérateurs de 6 à 24 mois tout en autorisant les états membres de l'Union à aller plus loin, s'ils le souhaitent. Les détails conservés doivent permettre aux autorités judiciaires d'identifier les parties impliquées, leurs localisations ainsi que le moment de la communication. Le contenu des messages ne doit pas être conservé. Les communications qui n'ont pas abouti sont concernées par le projet de directive mais uniquement pour les opérateurs qui stockent déjà les données concernant ces communications. Le texte prévoit enfin que l'accès aux détails de communications ne sera autorisé que dans le cadre d'enquêtes portant sur des « crimes graves », une notion floue qui attend toujours sa définition. Les états pourront compenser le surcoût pour les opérateurs. (...)
(14/12/2005 17:18:33)Microsoft : Windows décroche son contrat de confiance EAL4+
Alors que Microsoft alerte ses utilisateurs d'une faille béante dans son OS Windows, l'éditeur de Redmond annonce que six de ses produits-phare sous la bannière Windows ont reçu le certificat EAL 4+ (Evaluation Assurance Level) des critères communs (Common Criteria). Un classement défini par l'organisme NIAP (National Information Assurance Partnership) (*), censé garantir aux utilisateurs un degré de confiance dans le niveau de sécurité des logiciels (voir encadré). Ont reçu le certificat EAL 4+, les éditions Standard, Enterprise et Datacenter de Windows Server 2003 SP1, la version Certificate Server de Windows Server 2003, et enfin les versions Professionnel et Embedded de Windows XP SP2. A noter qu'Exchange 2003 et Isa Server 2004 ont également obtenu ce degré de certification. Bernard Oughanlian, directeur technique et sécurité chez Microsoft France, indique en outre que SQL Server 2005, lancé début novembre, est actuellement en cours d'évaluation. Un modèle de sécurité Critères Communs en développement L'évaluation, composé d'une impressionnante série de tests, s'est échelonné sur près de deux ans et demi, précise Bernard Oughanlian. Grâce à ce certificat, « l'utilisateur bénéficie d'une évaluation réalisée par un organisme indépendant, de la mise en oeuvre d'un niveau de sécurité de bout en bout, du poste de travail au serveur, et il dispose enfin d'une liste de paramètres pour la mise en conformité ». Plus concrètement, cela devrait se traduire par la délivrance d'un profil type estampillé Critères Communs sur le poste de travail et le serveur, affirme Bernard Oughanlian. Les utilisateurs pourront alors appliquer ce modèle, « au même titre que l'utilisateur dispose dans Windows XP d'un Assistant de Sécurité». Pour autant, ce n'est pas une première pour Microsoft. L'éditeur avait également obtenu le certificat CC EAL 4+ pour Windows 2000, Windows 2000 Server et Advanced Server. Ironie du sort, Microsoft a hier alerté les utilisateurs de Windows qu'une faille de sécurité jugée critique d'Internet Explorer autorisait la prise de contrôle de leur ordinateur. L'éditeur de Redmond a riposté par une rustine, à l'occasion de son mensuel "Patch Day". (*) un projet développé par le gouvernement américain et soutenu par le National Institute of Standards and Technology (NIST) et la National Security Agency (NSA) (...)
(12/12/2005 17:31:25)eEye débarque sur le marché des antivirus
L'éditeur eEye Digital Security prévoit de doter son outil de détection d'intrusion Blink de fonctionnalités d'antivirus. Un marché saturé de produits et d'offres, squatté à 83% par les offres de Symantec, McAfee et Trend Micro, en 2004. A l'inverse de nombre d'antivirus basé sur la détection par signatures, l'outil de eEyes repose quant à lui, sur une analyse de comportement du programme. A l'image de Entercept de McAfee par exemple. Une version béta devrait voir le jour début 2006. (...)
(12/12/2005 17:25:05)Coup de Packet Storming sur Firefox
L'alerte a été publiée par Packet Storm, accompagnée d'un exploit... lequel tire parti d'une faille de Firefox 1.5 (sous Windows XP) non encore corrigée. L'attaque s'apparente à un déni de service provoquant un crash du navigateur, lequel ne peut être relancé qu'une fois le fichier history.dat purgé. L'exploitation fructueuse du défaut est assez difficile, à moins que le pirate face preuve d'un esprit retors. Il est effectivement envisageable que l'usager d'un Firefox ainsi verrouillé soit contraint d'utiliser Internet Explorer... un I.E. bien entendu qui n'aurait pas été rustiné depuis belle lurette, pour cause d'usage intensif de produits mozilliens. Ce qui, bien entendu, permettrait d'exploiter par voie de conséquence une faille I.E. qui, elle, offrirait des débouchés plus appétissants : élévation de privilège, exécution de code à distance, DoS plus conséquents etc. Si, de surcroît, le tout était combiné en un code unique, cela confinerait au machiavélisme viral le plus pur qui soit. Etrange qu'un éditeur d'A.V. ne nous ait pas déjà pondu un mémoire de 25 pages sur le risque abominable que constituerait ces infections transversales et polymorphes. (...)
(09/12/2005 17:59:12)Sunbelt rachète le pare-feu de Kerio
Sunbelt vient de faire l'acquisition du code source du pare-feu personnel de Kerio. En octobre, Kerio avait annoncé l'arrêt des développements pour ce logiciel à compter du 31 décembre 2005. Dans l'immédiat, Kerio Personal Firewall sera commercialisé sous la marque Sunbelt Kerio Personal Firewall. Sunbelt assure qu'il continuera de développer la version gratuite du logiciel pour les particuliers. La réaction des éditeurs d'outils concurrents ne s'est pas faite attendre : Zone Labs propose un rabais de 40 % sur les 50 $ que coûte son pare-feu ZoneAlarm Pro. Le montant du rachat n'a pas été communiqué. (...)
(09/12/2005 17:58:00)Symantec réfléchit au mode hébergé
Symantec réfléchirait à proposer en mode hébergé ses applications Norton Antivirus ou Norton Utilities, a déclaré David Sykes, Vice-président de Symantec Zone Pacifique, à l'occasion d'une conférence à Sydney. Il emboîterait ainsi le pas à Microsoft et à son service OneCare Live, actuellement testé aux Etats-Unis. Ce ne serait pourtant pas une première. Des partenaires de l'éditeur ont selon lui, déjà rendu accessible des produits de la marque via un modèle de service en ligne. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |