Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 2411 à 2420.
| < Les 10 documents précédents | Les 10 documents suivants > |
(12/05/2005 18:28:20)
Faille Firefox, à qui profite le crime ?
Firefox fragilisé par une faille, ce n'est pas exceptionnel. Mais, depuis samedi 7, les esprits mozilliens s'échauffent plus que de coutume. Car cette information s'est répandue avant même que la Fondation ait mis en ligne le moindre communiqué. Outre l'annonce de cette vulnérabilité, un code d'exploitation a également été divulgué. Là, on ne parle plus de full disclosure , mais d'existence de Zero Day Exploit (ZDE), autrement dit d'un risque d'attaque quasiment imparable faute de prévention.
Qui est responsable ? Et les regards se tournent vers l'auteur du code, un « pape » de la recherche es sécurité, le célèbre « Paul » de Greyhat. Car c'est effectivement lui, ainsi que l'allemand Michael Krax, qui sont à l'origine de la découverte. Mais qui connaît Greyhat sait que Paul est très à cheval sur le ethical hacking, et que jamais exploit ne sortira de son laboratoire avant que l'éditeur n'ait été prévenu et qu'un correctif ne soit disponible. Quant à Krax, sa déjà longue liste de failles Firefox découvertes et gardées secrètes avant correction témoignent de sa probité. Full Disclosure (divulgation pleine et entière) oui, mais invoquer ce même Full Disclosure pour justifier un acte manifeste d'incitation au piratage, non, s'indignent les deux chercheurs. Précisons que Paul et « Mikx » Krax ont travaillé conjointement et ont collaboré, jusqu'à la date de ce vol manifeste, en respectant les impératifs de non divulgation imposés par le « Mozilla Foundation Bug Bounty ».
Et Paul vitupère, et dévoile « après coup » son exploit. Ceci afin d'en officialiser l'annonce auprès du grand public et réduire ainsi la fenêtre de vulnérabilité par méconnaissance, qui ne pourrait servir qu'aux pirates possédant la recette. Ceci également pour prouver la paternité et l'antériorité de la découverte. Car les premières « fuites organisées » non seulement participent au vol d'un travail, violent une parole donnée –le respect du Bounty Bug- mais encore laissent subtilement planer un doute quand à la propriété intellectuelle du travail effectué. Ce n'est pas de l'appropriation ni du plagiat, mais çà s'en approche fortement. Aucun nom d'auteur, nulle trace de son origine, si ce n'est du publiciste de « l'advisory ». Dès le dimanche 8, un film des événements excessivement précis a été tenu par le MozillaZine, et l'on entendait bruire des réactions épidermiques * sur Slashdot.
A qui ne profite pas le crime ? Au mouvement Full Disclosure , alias « F.D. », dans son ensemble. Ce courant milite, depuis fort longtemps, pour une véritable transparence des informations techniques touchant à la sécurité des outils logiciels. Ses participants s'opposent ouvertement à la tentative de mainmise que tentent d'imposer quelques grands éditeurs, notamment Microsoft, Oracle, Sybase… lesquels apprécieraient fortement être à la fois juges et parties pour tout ce qui touche aux inconsistances logicielles. Que ces éditeurs protègent leurs intérêts est légitime, d'autant plus qu'il faut un temps parfois non négligeable pour concevoir une rustine compatible avec toutes les configurations possibles. Un « patch » dénué de régression n'est pas un jeu d'enfant. Mais, c'est avec de tels arguments que ces mêmes éditeurs repoussent ad vitam aeternam le colmatage de certaines brèches. Pourquoi ? S'étonnent les militants du F.D., lesquels jouent alors le rôle d'un « Que Choisir » face à l'immobilisme des grands trusts de l'édition. Pourquoi, en effet. Car la difficulté technique n'explique pas tout. Les Microsoft aussi sont, à l'instar des RSSI cherchant à sécuriser leur infrastructure, confrontés à un problème de ROI, de retour sur investissement. Combien coûte le « fix » d'un bug provoqué par un code hérité trop ancien ? Combien de centaines, combien de milliers de lignes de C++ devra-t-on reprendre, combien cela coûtera-t-il au regard du risque réel et de l'espérance de vie du programme en question ?
Ce à quoi les partisans du F.D. rétorquent que le paramètre important dépend de ce qui est « accessible grâce » à cette faille, en faisant justement remarquer que jamais l'éditeur ne pourra prétendre estimer le coût du danger chez ses propres clients. « Vous engagez votre responsabilité en faisant commerce, assumez-là … on ne peut avoir le beurre et l'argent du beurre » estiment en substance les chercheurs de la liste Full Disclosure. Il est vrai que la « sécurité par l'obscurantisme » n'a jamais été une solution, et il s'est heureusement toujours trouvé un Ralf Nader pour forcer les General Motors à améliorer la fiabilité de leurs véhicules.
Mais cette lutte de défense du consommateur ne doit pas être confondue ou associée avec les débordements irresponsables d'un quarteron d'Ultras. Lesquels, d'ailleurs, font en pleine connaissance de cause le jeu des Microsoft, des Oracles, des Sybase, qui ont beau rôle d'ironiser sur « l'éthique très relative des militants de la divulgation entière ». La publication forcenée de ZDE par un petit groupe d'extrémistes est une technique « agitprop » bien connue des mouvements radicaux : des groupuscules télécommandés provoquent des désordres qui semblent signés par le camp adverse. Les Camelots du Roi d'avant-guerre, les Chemises Noires de Mussolini, les commandos trozkistes de 68, les véritables fuites des fausses dépêches d'Ems... cette technique est vieille comme l'histoire de la propagande et de la déstabilisation. Certes, ni Microsoft, ni Oracle, ni Sybase ne semblent assez retords pour tremper dans des combines aussi infâmes. Alors, si eux ne sont pas coupables, qui reste-t-il face à la responsabilité de cette stupide et dangereuse divulgation ?
* Merci à Emmanuel Jud de Secuser pour ce « deep hit » qui n'était pas évident à trouver (...)
Novell s'offre Immunix, spécialiste en sécurité Linux
Novell annonce le rachat d'Immunix, expert en sécurité Linux, pour un montant non-communiqué. Immunix, start-up américaine de quinze personnes fondée en 1998, et financée en partie par la Darpa (Defense Advanced Research Projects Agency), est connue pour avoir développé un des modules de sécurité, Linux Security Modules (LSM), contenu dans la version 2.6 du noyau Linux.
Aux termes de la transaction, qui, selon un communiqué, a été formalisée la semaine dernière, Novell commercialisera le produit phare d'Immunix, AppAmor, sous sa marque – et deviendra ainsi Novell AppAmor. Et ce dès la fin mai 2005. Pour mémoire, l'application est censée protéger les systèmes Linux en stoppant les attaques, les virus et également les codes malicieux. Et, plus techniquement, en limitant la surface d'attaque du système. AppArmor automatise également la gestion des rustines. Il génère une série de rapports et est équipé d'un système d'alertes. Notons par ailleurs qu'AppArmor supportait déjà Yast, outil d'administration de système Linux de Novell.
L'éditeur indique que l'application devrait étoffer la sécurité de SuSE Linux Enterprise Server 9. Pour notamment porter la distribution de l'éditeur dans les datacenters.
Rappelons au passage que le modèle «ouvert» de l'Open Source, ainsi que sa popularité grandissante – portée notamment par le navigateur Firefox – suscite actuellement quelques doutes quant à la sécurité des systèmes Linux. Dimanche 8 mai 2005, Mozilla alertait les utilisateurs de Firefox que deux failles répertoriées «extrêmement critiques» avaient été découvertes dans le navigateur. (...)
IBM dévoile sa solution de gestion des identités fédérées
IBM vient de publier son premier logiciel de gestion d'identités fédérées, Tivoli Federated Identity Manager (TFIM). S'appuyant sur les standards définis par la Liberty Alliance, mais aussi sur des standards XML et Web services comme SAML (Security Assertion Markup Language), WS-Federation, WS-Trust et WS-Security, le nouveau logiciel permet à une entreprise de bâtir un système de gestion d'identités fédérées afin d'offrir à ses utilisateurs un accès, via un login unique, aux services de l'entreprise ainsi qu'à ceux de ses partenaires.
Le serveur devrait être mis en avant comme un composant clé pour la plate-forme de middleware WebSphere afin de permettre l'interconnexion entre serveurs d'applications et portails Web d'entités diverses (filiale, divisions…). IBM rejoint sur ce marché des concurrents comme Sun, Oracle, HP, RSA ou Trusgenix. Il suit aussi de peu le lancement par Microsoft de la première bêta de sa solution de gestion d'identités fédérées.
Tivoli Federated Identity Manager est, pour l'instant, vendu 69 $ par utilisateur enregistré. Big Blue prévoit aussi d'offrir un modèle de licence par serveur. (...)
Retour au stand pour Google Web Accelerator
Google a décidé de stopper la distribution de Google Web Accelerator, quelques jours après avoir livré en téléchargement gratuit une bêta du logiciel. Les utilisateurs auraient alors constaté certains problèmes de confidentialité et de sécurité. Pour certains, les fonctionnalités de cache de l'outil auraient donné libre accès à des pages confidentielles archivées («cachées») sur les serveurs de Google, notamment liées à l'inscription aux forums (tels que l'identifiant et le mot de passe). D'autres mettraient en cause la technologie de prefetching (préchargement des pages connexes via l'analyse des liens s'y rapportant). L'accélérateur Google aurait, selon eux, préchargé les liens de type «supprimer» ou «annuler», effaçant dans la foulée le contenu fraîchement mis en ligne ou stoppant le traitement en cours.
Dès sa sortie, Google Web Accelerator avait semé le doute chez certains quant à sa fiabilité en matière de sécurité et à l'utilisation, par Google, des données liées aux habitudes de navigation.
Pour mémoire, Web Accelerator est une application développée par Google censée accélérer la navigation sur Internet. Pour cela, il utilise des fonctionnalités de proxy cache (via une combinaison d'un cache en local et sur les serveurs Google), de prefetching et de compression de donnée pour restituer le contenu au navigateur. (...)
Microsoft revisite sa politique d'alertes de sécurité
Microsoft devrait annoncer cette semaine un nouveau service pilote d'alertes de sécurité destiné à compléter ses bulletins de sécurité mensuels. Le nouveau programme, baptisé Microsoft Security Advisories, ne sera pas astreint au rythme mensuel que l'éditeur s'était jusqu'alors imposé.
Il devrait en cela répondre, au moins partiellement, aux demandes de certains utilisateurs, qui jugent un peu trop rigide la position de l'éditeur, qui consiste à ne pas publier d'informations sur une faille tant qu'un correctif ne peut y remédier. Piloté par le centre de réponse de sécurité de l'éditeur, le programme Microsoft Security Advisories vise à fournir par e-mail ou par le biais de fils RSS des informations aussi rapidement que possible après la publication d'une vulnérabilité.
Le système des Advisories ne devrait toutefois pas mettre un terme au débat qui oppose l'éditeur aux chercheurs et spécialistes en sécurité. Microsoft reproche depuis longtemps à certains de dévoiler les failles de ses logiciels avant qu'il n'ait pu publier un correctif de sécurité. Certains chercheurs, de leur côté, expliquent qu'ils ne dévoilent les failles qu'ils ont découvertes que lorsque l'éditeur refuse de prendre les mesures correctives qui s'imposent. Il est vrai que le temps entre la découverte d'une faille et la publication d'un exploit capable d'en tirer parti a une fâcheuse tendance à se raccourcir...
En savoir plus :
Le site de sécurité français de Microsoft
Le site de sécurité US de Microsoft (...)
Network Engines lance ses passerelles de sécurité Microsoft en Europe
L'Américain Network Engines devrait prochainement lancer en France ses appliances de sécurité basées sur le proxy-firewall ISA Server de Microsoft. Network Engines a récemment nommé Gareth Green, l'ancien vice-président Europe de Netscreen, à la tête de sa filiale européenne et vient de signer un accord de distribution européen avec Alasso.
Les appliances de sécurité de Network Engines, les séries NS, embarque Microsoft ISA Server 2004 et fournissent des services de pare-feu, de proxy, de filtrage de contenus et de cache Web. Elles sont optimisées pour protéger et interagir avec les applications serveurs de Microsoft dont IIS, Exchange Server et Sharepoint Server. (...)
Microsoft veut faire la chasse aux comptes administrateurs dans Longhorn
Afin de renforcer la sécurité de son système d'exploitation, Microsoft veut limiter l'utilisation des comptes administrateurs par les utilisateurs. Pour cela, la prochaine génération de Windows, connue sous le nom de code LongHorn, permettra aux utilisateurs du compte « standard » d'effectuer une partie des tâches jusque-là réservées aux comptes « admin ». C'est ce qu'a confirmé Jim Allchin lors d'une discussion avec la presse lundi 25 avril.
A l'heure actuelle, nombre d'opérations, comme l'installation d'un logiciel ou la modification des paramétrages réseaux, sont limitées aux seuls utilisateurs dotés d'un compte administrateur. Du fait de cette restriction, 80 % des utilisateurs de Windows se voient donc doter d'un compte administrateur, avec toutes les capacités associées (comme la modification des paramétrage de sécurité, la possibilité de créer de nouveaux utilisateurs…). Avec Longhorn, Microsoft veut ramener ce chiffre à 20 % en étendant les capacités du compte standard, par exemple pour permettre l'installation de logiciels. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |