Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 771 à 780.
| < Les 10 documents précédents | Les 10 documents suivants > |
(21/09/2010 17:22:18)
Twitter victime d'une attaque spam massive
Le réseau social Twitter est victime ce mardi 21 septembre d'une attaque de spam qui propage très rapidement des messages incompréhensibles sur les pages des utilisateurs. Une faille sur le site permet l'exécution d'un code javascript lorsqu'un internaute survol avec le curseur de la souris des liens figurant dans certains messages. En attendant la correction de cette vulnérabilité, les utilisateurs de Twitter sont invités à ne pas utiliser la version Web du site.
L'éditeur de sécurité Sophos indique que Sarah Brown, la femme de l'ancien Premier ministre britannique, a elle-même été victime de cette attaque. A son insu, elle a republié sur son compte un message qui redirige ses contacts vers un site pornographique.
Illustration : Le compte Twitter de Sarah Brown, épouse de l'ex-Premier ministre britannique Gordon Brown, victime de l'attaque au spam sur Twitter.
Signal Spam propose un plugin pour Outlook ou Thunderbird
Signal Spam, la plateforme française de lutte contre les messages indésirables sur Internet, a annoncé la refonte de son site. Outre une interface remaniée, cette v2 propose aux internautes d'installer un plugin sur les messageries Outlook (Microsoft) ou Thunderbird (Mozilla) afin de signaler un spam directement depuis son compte. Les informations sont ensuite transmises aux services des autorités compétentes afin d'identifier les opérateurs et mettre à jour la liste noire des spameurs.
Signal Spam a reçu à ce jour 19,7 millions de signalements. Cette plateforme réunit notamment la Cnil (Commission nationale de l'informatique et des libertés), la Fevad (Fédération e-commerce et vente à distance), l'AFA (Association des Fournisseurs d'Accès et de Services Internet), Microsoft, Orange, SFR, ou encore eBay/PayPal.
Quelque 4 milliards de spams sont envoyés chaque jour aux internautes français (contre 135 milliards dans le monde, soit 90% des mails échangés), selon Signal Spam.
(...)(21/09/2010 11:59:18)Google renforce la sécurité de ses Apps
L'option devrait assurer une protection supplémentaire contre le phishing et les attaques de logiciels malveillants, a déclaré Eran Feigenbaum, directeur de la sécurité de Google Apps. L'authentification en deux étapes repose généralement sur un élément que l'utilisateur connaît, comme son mot de passe et quelque chose qu'il détient, comme une carte à puce ou dans le cas de Google - un numéro téléphone mobile.
Microsoft propose depuis le mois de mai dernier, un service similaire de double authentification en utilisant des SMS. De son côté, Google enverra aussi le code d'authentification par SMS ou un via un message vocal. Le service SMS sera gratuit et disponible dans 19 pays dont l'Australie, le Danemark, la France, l'Allemagne, les Pays-Bas, la Suède, le Royaume-Uni et les États-Unis. Les codes d'authentification peuvent également être générés localement en utilisant une application smartphone appelé Google Authenticator, disponible en téléchargement gratuit sur le Android MarketPlace, Blackberry ou iPhone App Store. L'éditeur de Moutain View a publié le code source de cette application afin que les entreprises puissent modifier l'interface utilisateur et intégrer leur propre marque. Toutefois, Google ne distribuera pas l'algorithme qui génère le code, explique Eran Feigenbaum. Le processus d'authentification repose sur un standard ouvert appelé OATH pour les terminaux mobiles- à ne pas confondre avec OAuth, un autre protocole d'authentification ouvert, destiné principalement aux applications Web. Les partisans d'OATH comprennent VeriSign, Sandisk et un certain nombre de fabricants de cartes à puce.
Cette fonction sera disponible pour les administrateurs de la version éducation et gouvernement de Google Apps. Les utilisateurs de l'édition Standard et des services grand public tels que Google Docs et Gmail y auront accès « dans les prochains mois », a déclaré Feigenbaum, tout en refusant de dire si elle sera activée avant la fin de l'année.
Une reconnaissance automatique possible
Une fois que l'administrateur a activé la fonction, les utilisateurs de Google Apps doivent fournir leur numéro de téléphone mobile pour l'option SMS ou installer l'application et la configurer en entrant un mot de passe. Après cela, chaque fois que les utilisateurs se connecteront, ils verront une zone de texte supplémentaire les invitant à entrer un code à six chiffres. Pour obtenir ce code, ils peuvent soit en demander un via SMS à partir de la page de connexion ou cliquez sur un bouton dans l'application pour en générer un nouveau. Les utilisateurs qui travaillent fréquemment à partir du même ordinateur, celui de la maison, par exemple - peuvent choisir de la fonction «souviens-toi des vérifications pour cet ordinateur. » Un cookie sera alors placé sur le PC pour indiquer aux serveurs de Google de ne pas demander le code d'authentification. « Cela réduit la protection de la sécurité si la machine est volée », a déclaré Eran Feigenbaum, mais il ajoute « si quelqu'un a un accès physique à votre machine, vous avez des problèmes plus beaucoup plus graves ». Toutefois, pour des ordinateurs à accès public, la double authentification fournit un niveau supplémentaire de protection, car le code donné par SMS n'est valable que pour une durée de temps limitée.
Ceux qui ont différentes identités sur Google Apps pour le travail et Gmail pour leurs messages personnels pourront programmer Authenticator avec deux identités, leur permettant de générer des codes différents pour chaque compte.
Un chef d'Interpol se fait dérober son nom sur Facebook
C'est l'une des personnes les plus puissantes dans le monde de la police, mais sur Facebook, Ronald K. Noble, l'un des hauts responsables d'Interpol, est tout aussi vulnérable que n'importe qui concernant le vol d'identité. Selon le site britannique Techworld.com, le secrétaire général de l'agence a révélé, lors d'une conférence organisée la semaine dernière à Hong-Kong, que des cybercriminels avaient créé deux profils Facebook pour obtenir des informations sur l'une des opérations de son agence, baptisée « Infra-Rouge ». La fraude a récemment été découverte par les équipes sécurité d'Interpol. « L'un des hackers a utilisé mon profil pour obtenir des informations sur des fugitifs recherchés dans le cadre de cette opération », a déclaré le responsable d'Interpol. « Infra-rouge », qui s'est déroulée entre mai et juillet 2010, devait conduire à l'arrestation de fugitifs accusés de meurtre, pédophile, fraude, corruption, trafic de drogue et blanchiment d'argent, dans différentes juridictions. Elle avait autorisé 130 arrestations.
Le cyberespace, véritable menace criminelle
«La cybercriminalité est en train de devenir une menace très concrète », a souligné Ronald K Noble. Selon ce dernier, si l'on considère le facteur anonyme du cyberespace, l'on peut estimer que ce dernier constitue l'une des menaces criminelles les plus dangereuses qu'on n'ait jamais connues.
Bien que Facebook, en lui-même, n'ait pas été compromis de quelque façon que ce soit par cette affaire, l'exemple cité par Interpol montre bien la facilité avec laquelle les cybercriminels parviennent à s'y forger une identité. Ce phénomène concerne aussi bien Facebook, que d'autres réseaux sociaux, comme Twitter, également en lutte avec ce type de problème. Néanmoins, même pour les non-VIP qui utilisent des comptes, Facebook reste le lieu controversé pour apposer certaines informations. La semaine dernière, une étude indiquait que de nombreuses PME américaines avaient connu des problèmes de sécurité, suite à l'intérêt des employés pour ce site.
(...)(17/09/2010 15:20:07)
L'appréciation des risques, maillon faible de la sécurité selon le CISO d'Intel
Selon Malcolm Harkins, Chief Information Security Officer (CISO) d'Intel, la plus grande menace pour la sécurité de l'information (Infosec) réside dans une mauvaise appréciation des risques : "la surestimation ou la sous-estimation du risque est souvent le maillon faible de la sécurité de l'information," a t-il déclaré lors du Forrester Security Forum 2010 qui s'est tenu à Boston. C'est même, selon lui, l'élément le plus significatf auquel doit et devra faire face la sécurité de l'information aujourd'hui et dans l'avenir.
Celui-ci a invité les professionnels présents à Infosec à réfléchir en premier lieu à ce qu'ils croyaient être le plus grand risque auxquels ils sont confrontés dans leurs entreprises. Parmi les réponses, certains ont suggéré "les menaces internes et les individus." Malcolm Harkins a convenu qu'il s'agissait bien des individus, mais peut-être pas pour les raisons que les participants avaient à l'esprit. Pour lui, ce sont l'exagération ou au contraire la minimisation du risque par l'esprit humain qui nous rendent le plus vulnérable au danger. "Deux facteurs conduisent à cette mauvaise appréciation : les données économiques et les éléments psychologiques," a t-il déclaré. "En matière économique, les choix sont guidés par les décideurs qui dépendent eux-mêmes des incitations et des ressources." Celui-ci a poursuivi en déclarant que, "en tant que professionnel de la sécurité, je commence à croire que nous sommes des architectes du choix. Nous essayons d'amener les gens à penser d'une certaine manière et à prendre des décisions," a-t-il ajouté. "Sur le plan psychologique, plus le bénéfice attendu est important, plus la tolérance au risque augmente. Parmi les exemples, on peut citer l'adoption de technologies comme le cloud computing, la virtualisation, et les médias sociaux. Toutes apportent de gros avantages aux entreprises, si bien que les risques qu'elles représentent pour la sécurité deviennent acceptables," fait-il remarquer.
Mauvaise hiérarchisation des risques
Mais là où les choses se compliquent, c'est dans la manière dont les gens perçoivent les risques liés à ces technologies. Une sous-estimation signifie qu'une entreprise ne peut pas se préparer correctement à certains incidents de sécurité. Et une surestimation du risque signifie qu'une entreprise peut donner trop d'importance à un domaine et en négliger un autre. "Combien d'entre nous recevons des e-mails de nos dirigeants nous demandant ce que nous faisons à propos de tel ou tel risque sur lequel ils viennent de lire un article dans le journal ? " a demandé le CISO d'Intel. "Ce genre d'exagération peut être aussi frustrant que lorsque le problème est sous-estimé."
Mais Malcolm Harkins a une méthode. "Pour équilibrer ces deux extrêmes et atténuer la vulnérabilité qui résulte d'une mauvaise appréciation des risques, il faut introduire de l'objectivité, de la souplesse et du pouvoir de décision," a suggéré le professionnel de la sécurité avant d'énoncer quatre objectifs importants à réaliser au quotidien pour apporter des parades effectives.
1 - La capacité de prévision : cela revient à utiliser des mesures proactives pour identifier les agresseurs, leurs motivations et leurs méthodes.
2 - La force de conviction : avoir les moyens et l'endurance nécessaires pour soutenir sa position face à d'autres décideurs de l'entreprise.
3 - La patience : allier force de conviction et patience. Ne pas être alarmiste. Attendre tranquillement que l'occasion se présente de remettre le problème sur la table.
4 - La préparation : être prêt à réagir rapidement à un événement ou à faire face à une vulnérabilité.
"Si vous faites tout cela correctement, vous continuerez à gagner de l'influence dans votre entreprise. Vos dirigeants vous considéreront comme un partenaire qui les aide à se protéger," a conclut Malcolm Harkins, avant de prodiguer un dernier conseil : "Ne prenez pas l'attitude de la victime pour gérer les risques."
(...)(17/09/2010 12:47:37)Réseaux sociaux : trop diaboliques pour les entreprises ?
« Les réseaux sociaux sont vraiment diaboliques ». Selon Alan Lustiger, directeur de la sécurité de l'information chez Gain Capital Holding, société de commerce en ligne, les réseaux sociaux constituent une ressource majeure pour les hackers essayant de s'approprier des données d'entreprises ou de s'attaquer à leurs réseaux internes. Il explique cela en sept points.
1. Rechercher sur ces sites les noms des entreprises renvoie à des organigrammes partiels, et il s'agit donc d'un bon début pour préparer une attaque via ces réseaux.
2. Utiliser les adresses email glanées sur ces sites peut fournir des informations cruciales. Si le système de nom de l'adresse (initiale du prénom suivie du nom, ou prénom, tiret, nom par exemple) est identique au système d'attribution de mots de passe, la sécurité est compromise. « Vous êtes alors à mi-chemin de pirater leur nom d'utilisateur et mot de passe », affirme-t-il.
3. Les informations publiées sur les réseaux sociaux donnent des indices pour déterminer les mots de passe : nom des enfants, équipes préférées, goût alimentaires...
4. Des faux concours prenant place sur ces sites et demandant toutes sortes d'informations peuvent contribuer à un changement du mot de passe par les pirates. Les noms de l'école, de l'animal de compagnie ou de l'oncle préféré donnent les réponses aux questions secrètes par lesquelles il est possible de modifier le mot de passe.
5. Les URL réduites utilisées sur Twitter peuvent mener n'importe où, et il n'y a aucun indice dans le nom de l'adresse qui aiderait à deviner cette redirection. Un site malveillant peut très bien se trouver à l'arrivée.
6. Exploiter les forums et sites de recherches d'emploi peut informer sur des embauches IT dans des entreprises spécifiques. Les attaquants pourraient alors obtenir un entretien au cours duquel ils rassembleraient des détails sur l'infrastructure réseau de cette société en discutant de leurs expériences et du travail éventuel.
7. L'utilisation du GPS par Google Latitude publie le lieu où l'on se trouve, mais révèle par là même les endroits où l'on n'est pas. Les individus cherchant une excuse pour pénétrer dans l'entreprise peuvent faire usage de cette information en se rendant sur place et demandant à voir quelqu'un alors qu'ils savent que la personne n'est pas là.
Dans cette dernière situation, ils peuvent demander au réceptionniste d'imprimer un document dont ils auraient besoin pour leur entrevue avec la personne absente. Formé à l'accueil et à rendre service, le réceptionniste pourrait insérer une clé USB dans leur ordinateur pour procéder à l'impression, et laisser malgré lui entrer un malware créant une porte dérobée, volant des données ou bien propageant un code destructeur et ce, sans laisser de traces, explique-t-il.
Des risques difficiles à estimer
D'autres astuces réalisables « en personne » via des connaissances acquises sur les réseaux sociaux peuvent être dangereuses. Offrir un emploi dans l'entreprise et donner l'accès au réseau interne aux attaquants est un risque réel. Le meilleur moyen de bloquer de tels risques de sécurité reste d'éduquer les employés aux réseaux sociaux et d'étendre cette formation à leur activité personnelle sur ces derniers, selon Alan Lustiger. « En quoi un site web a-t-il besoin de connaître votre date d'anniversaire ? », déclare-t-il, indiquant que cela peut être utilisé pour déterminer et changer le mot de passe dans le but de voler l'identité. Les équipes de sécurité internes devraient prendre à leur charge de vérifier, par échantillonage, que les informations postées par les employés sur les réseaux sociaux ne risquent pas d'être utilisées pour porter atteinte à l'entreprise. Mais même dans ce cas, elle peut toujours être vulnérable. « C'est virtuellement impossible de se prémunir face à un attaquant ayant passé suffisamment de temps à se préparer en scrutant les réseaux sociaux ».
Crédit Photo : D.R.
Des chercheurs s'opposent sur l'origine des récentes attaques contre Google
Les chercheurs de Symantec affirment avoir trouvé des preuves indiquant que les pirates qui ont pénétré les systèmes de Google en décembre 2009 ont repris leurs activités. Mais pour Don Jackson, chercheur chez SecureWorks, la preuve de l'éditeur de Mountain View fait l'amalgame entre deux attaques distinctes. Le litige concerne des actions récentes menées via des fichiers PDF joints à des messages concernant l'entraineur de golf bien connu David Leadbetter qui exploitent un bug non corrigé dans le Reader d'Adobe. Ces attaques ont été rendues publiques la semaine dernière par le chercheur en sécurité indépendant Mila Parkour qui en a avisé Adobe avant de publier ses conclusions préliminaires. Le jour suivant, l'éditeur sortait un avis de sécurité, annonçant dans la foulée qu'il corrigerait le problème au début du mois prochain. Les experts en sécurité ont qualifié ces attaques "d'effrayantes et de brillantes" dans la manière dont elles évitent les systèmes de défenses de Windows, normalement conçues pour isoler le code malveillant et pour limiter sa capacité à exécuter des logiciels malveillants.
C'est Symantec qui a tiré le premier. L'expert en sécurité dit avoir relevé des signes d'attaque par e-mails "au moins à partir du 1er septembre," ajoutant par l'intermédiaire de son chercheur Karthik Selvaraj que le libellé des récents mails était "très similaire" à la formulation utilisée dans les attaques - baptisées «Opération Aurora» par un chercheur de McAfee - menées contre Google et les autres en janvier 2010. Google, qui avait remonté les attaques d'Aurora jusqu'aux hackers chinois, avait menacé d'interrompre ses activités en Chine. À l'époque, le géant de Mountain View avait qualifié les attaques de «très sophistiquées et ciblées», et avait indiqué qu'au moins 20 autres grandes entreprises avaient subi le même type d'agressions. Depuis, Google a trouvé un compromis sur la question de la censure avec les autorités chinoise et continue de proposer son portail de recherche.
Des deux attaques issues du même groupe ?
«Nous avons examiné la façon dont ils ont propagé et renouvelé la récente série d'attaques," a déclaré Joe Chen, directeur de l'ingénierie au sein du groupe de sécurité et de riposte de Symantec dans une interview pour expliquer pourquoi il estime que ces deux attaques ont été initiées par le même groupe. Karthik Selvaraj trouve aussi d'autres similitudes. "Par exemple, l'utilisation d'un "zero day"dans un document PDF, ou encore la manière dont l'exécutable a été laché sur le système. Tous ces modes portent la signature de la méthode Hydraq", a t-il déclaré. Hydraq, c'est le nom attribué par Symantec au cheval de Troie introduit en janvier par les attaques d'Aurora sur les ordinateurs piratés. "Ils utilisent les mêmes techniques que Hyrdraq, ce qui nous conduit à croire que, ou bien deux groupes se partagent leur savoir faire, ou bien il s'agit d'un seul et même groupe," a ajouté Joe Chen.
Mais Don Jackson est plus prudent. "Pas si vite, Hydraq est une porte dérobée dans Trojan," a t-il déclaré en parlant du malware qui, une fois installé par le biais des attaques Aurora et par celles du mail Leadbetter, ouvre l'accès à l'ordinateur infecté, laisse l'attaquant télécharger dans les systèmes plus de code malveillant depuis des serveurs distants pour en prendre le contrôle. "De nombreux cybercriminels, et particulièrement les pirates chinois, utilisent Hydraq, ce qui en fait une pièce à conviction un peu pauvre," a-t-il poursuivi. "Affirmer que les deux attaques ont utilisé Hydraq, c'est comme dire que deux attaques tout à fait indépendantes ont été initiées par le même groupe parce que les deux ont utilisé Zeus," a t-il encore dit, se référant à la boîte à outil du pirate prête à l'emploi qu'il a découverte en 2007. "C'est le kit de logiciels malveillants par excellence pour les criminels spécialisés dans la fraude financière," avait-il commenté à l'époque. "En fait, les techniques utilisées par le groupe à l'origine des faux e-mails sur David Leadbetter remontent à Juillet 2009," avait il fait valoir plusieurs mois avant qu'une seule preuve sur Aurore ne fasse surface. "Les gars derrière les attaques Leadbetter ont utilisé ce modus operandi depuis plus d'un an," a encore déclaré Don Jackson.
Une preuve plus ancienne
Joe Chen de Symantec a également noté que les chercheurs de son entreprise avait trouvé la première preuve sur le groupe responsable des emails dès juillet de l'année dernière, faisant valoir qu'ils avaient identifié les signe précoces du piratage de Google par cette bande. « Nous pensons que la première preuve est arrivée beaucoup plus tôt que Aurora, l'année dernière, » a t-il déclaré. « Ils utilisent le même type de techniques d'ingénierie sociale. » Non, a encore rétorqué Jackson. « Là où il y a confusion, c'est que au moment de l'opération Aurora qui visait Google, des attaques simultanées étaient menées via les PDF par le groupe Leadbetter, » a insisté Don Jackson. C'est, selon lui, ce qui a induit Symantec en erreur. « ls ont mélangé deux attaques qui ont eu lieu à la même époque et ont été initiées depuis la même région géographique, » a t-il encore déclaré.
Au contraire, Karthik Selvaraj de Symantec trouve que le lieu géographique apporte une preuve supplémentaire permettant d'associer Aurora et les attaques Leadbetter. « Nous avons détecté qu'un grand nombre de versions uniques de PDF - encore diffusées nulle part ailleurs - provenait d'un seul ordinateur situé dans la province chinoise de Shandong, la même où les enquêteurs ont pu remonter jusqu'à la trace des attaques Hydraq, » a expliqué Karthik Selvaraj. La province de Shandong tient une place importante dans l'histoire qui oppose les chercheurs. En février, le New York Times avait rapporté que les experts, y compris les enquêteurs de l'Agence de sécurité nationale (NSA), avait remonté l'opération Aurora jusqu'à deux écoles de la province du Shandong, des indices faisant pointer vers l'école professionnelle de Lanxiang, qui a des liens avec les militaires chinois. Le second établissement identifié n'est autre que la Shanghai Jiaotong University, également associée à un pirate chinois influent, qui, selon certains, aurait lancé une série d'attaques DDoS (déni de service distribué) contre le site whitehouse.gov en 2001. "Mais le fait d'avoir remonté les attaques jusqu'à Shandong n'est pas une preuve," a estimé Don Jackson. "C'est une grande province, et elle a déjà servi de base pour des attaques du groupe Leadbetter," a t-il déclaré. "Les réseaux qui ont lancé l'Opération Aurora ne sont pas liés à ces nouvelles attaques, je suis certain de cela,' a t-il encore affirmé.
Pas de correctifs disponibles avant octobre
La possible méprise de Symantec résulte peut être du fait que le peloton Leadbetter a utilisé les attaques Aurora comme appât pour mener ensuite une campagne PDF. C'est elle qui a déclenché l'alerte informant de l'attaque contre Google. Surtout, et c'est la pièce maîtresse de Don Jackson, le groupe Leadbetter a toujours utilisé des fichiers PDF malveillants pour mener ses attaques, ce qui n'a pas été le cas d'Aurora. "Aucune des entreprises attaquées en même temps que Google n'a trouvé trace d'un fichier PDF dans le piratage," a déclaré Don Jackson. Après l'attaque contre Google, les chercheurs ont en effet supposé que l'une ou plusieurs vulnérabilités non corrigées dans Adobe Reader avait été exploitées par le biais de fichiers PDF. Mais il est vite apparu que les assaillants avaient exploité un "zero-day" dans Microsoft Internet Explorer, pas dans Reader. McAfee, mandaté par plusieurs entreprises victimes pour décortiquer l'attaque, a dit que dans tous les cas, le bug responsable se trouvait dans IE. Bientôt, le fait de connaitre le nom du gang de pirates qui a mené ces attaques, sera sans objet puisqu'Adobe a dit qu'il patcherait le Reader et Acrobat la semaine du 4 octobre. D'ici à ce que ces correctifs soient disponibles, Microsoft et Adobe ont demandé aux utilisateurs d'installer et de configurer l'ancien Enhanced Experience Migration Toolkit (EMET) pour bloquer les attaques.
Illustration : Intrusion du malware Hydraq dans un PC, source Symantec
51 milliards de dollars perdus à cause du piratage de logiciels
Plus de quatre logiciels sur dix utilisés dans le monde n'ont pas de licence ou ont été piratés si l'on en croit une étude d'IDC, qui considère que 51 milliards de dollars ont été perdus en 2009 de cette façon. Effectuée pour le compte de la Business Software Alliance (BSA), groupe de pression de l'industrie du logiciel, cette étude affiche des taux de piratage impressionnants. En tête, on retrouve le Vietnam et l'Ukraine avec 85% de programmes non licenciés, suivis de près par la Chine à 79% et la Russie à 67%. A l'opposé, dans les très règlementés États-Unis, ils ne sont que 20%, tandis qu'en Suisse et en Belgique le taux reste à 25%, et que le Royaume-Uni ne dépasse pas les 27%.
Les bénéfices à s'attaquer à cette pratique seraient importants d'après IDC. Même en récupérant à peine 10% du marché sur le piratage mondial, cela donnerait un coup de fouet de 142 milliards de dollars à l'économie globale d'ici 2013, rapporterait 32 milliards en taxes et créerait environ 500 000 emplois dans le secteur du high-tech. « Réduire le piratage des logiciels représenterait une opportunité de stimuler une économie qui en a bien besoin », indique Michala Wardell, représentante britannique du BSA. « Cette étude montre que l'économie tout entière peut profiter d'une baisse rapide et agressive de ces pratiques ».
Frapper fort pour récupérer le marché
La méthodologie utilisée pour calculer les potentielles économies se base sur l'expérience de la Russie et de la Chine qui, en voyant leur taux de piratage baisser, ont connu une élévation de leur croissance et du marché de l'emploi. Du point du vue de la BSA, ces estimations abondent dans le sens d'une généralisation des préconisations du Traité sur le droit d'auteur émis par l'Organisation mondiale de la propriété intellectuelle, et dans le sens d'une meilleur capacité d'action au niveau du respect la propriété intellectuelle à travers les frontières pour s'attaquer aux pirates.
« Une réduction de 10 points reste réaliste grâce aux avancées du Software Asset Management (SAM), qui rend les licences et les mises aux normes plus simples que jamais pour les entreprises, mais maintenant, c'est le travail des organisations de communiquer autour de ce but à atteindre », explique Matt Fisher, de l'entreprise FrontRange, spécialisée en SAM. La BSA a récemment lancé une campagne publicitaire pour faire rentrer le thème du piratage dans la conscience publique. Le groupe de pression a d'ailleurs révélé avoir versé une prime de 10 000 £ à un technicien IT qui avait dénoncé un ancien employeur utilisant des logiciels piratés.
Crédit Photo : IDC et SBA
L'AFNIC évangélise sur le DNSSEC
L'idée n'est pas récente, la sécurisation des systèmes des noms de domaine a commencé à poindre son nez en 1995 lors de travaux au sein de l'IETF. A cette époque, le DNS était émis par un « serveur faisant autorité » comme par exemple ceux de l'AFNIC pour être reconnu par les serveurs résolveurs (ceux des FAI en général). L'objectif de ce système est d'authentifier le bon service, comme amazon.fr ou lemondeinformatique.fr. Les notions de sécurisations sont apparues avec la découverte par un chercheur, Dan Kaminsky, en 2008 d'une faille sur le DNS. Il a en effet trouvé une méthode, l'empoisonnement de cache, pour dériver le flux d'informations entre les deux serveurs cités précédemment et récupérer ainsi des données critiques.
Fort de ce constat, la mise en oeuvre du protocole DNSSEC (Domain Name System Security Extensions) est devenue un élément essentiel de la sécurisation du système. Ces extensions reposent sur des mécanismes de signature cryptographique asymétrique pour authentifier les enregistrements. Mathieu Weil, directeur général de l'AFNIC concède que « ce protocole entraîne des investissements dans les boîtiers cryptographiques et augmente la taille des messages, ainsi que du nombre d'échanges pour vérifier les signatures ». Concrètement, les organisations en charge des noms de domaine sont toutes progressivement en phase de signature de leur extension de sécurité. Pour l'AFNIC, le.fr a été signé le 14 septembre. L'organisme va donc assister les différents acteurs des noms de domaine (bureaux d'enregistrement, FAI, hébergeur, etc.) pour déployer DNSSEC. Des formations, ainsi que des dossiers thématiques sur le sujet et un logiciel gratuit ZoneCheck, qui prend en compte les DNSSEC vont être mis à disposition de cette communauté.
En ce qui concerne le prix de cette sécurisation, Mathieu Weil se veut rassurant « la sécurité a un coût, mais l'expérience suédoise pionnière en la matière montre que les hébergeurs ou les bureaux d'enregistrements intégreront cette option sans surcoût. Pour autant, comme dans d'autres activités informatiques, il faut s'attendre à un spectre tarifaire assez large ». L'AFNIC entend bien prendre son bâton de pèlerin pour professer les vertus du DNSSEC, même si son dirigeant s'attend à ce que cela soit progressif.
| < Les 10 documents précédents | Les 10 documents suivants > |