Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 891 à 900.
| < Les 10 documents précédents | Les 10 documents suivants > |
(15/06/2010 08:24:36)
40 000 PC portables chiffrés dans un grand groupe français
« En 2007, dans notre entreprise, un PC portable a été volé ou perdu tous les deux jours. Or, nombre d'entre eux contiennent des informations confidentielles », a expliqué le RSSI de ce groupe. Il s'est exprimé lors des RIAM (rencontres de l'IAM) qui se sont tenues du 26 au 28 mai dernier et organisées par l'intégrateur Atheos. Cet évènement a rassemblé cette année 150 RSSI de grandes entreprises, telles que la Caisse des Dépôts, Areva, La Poste ou encore Carrefour.
Des contraintes pour les utilisateurs et le support
Dès 2005, la décision avait été prise de mettre en oeuvre à grande échelle une solution de chiffrement de l'ensemble des disques durs, en cherchant à minimiser les contraintes pour les utilisateurs. La solution choisie est SafeGuard Easy (de Sophos).
Le déploiement est réalisé en trois phases : tests sur 1000 machines, projet pilote sur 3000 machines, et enfin déploiement sur les quelque 35 000 machines restantes. Afin de s'assurer que l'outil sera bien présent sur tous les PC, il est décidé en cours de projet de modifier la configuration standard des PC en y intégrant SafeGuard Easy. Le déploiement, qui s'en est trouvé ralenti mais fiabilisé, s'achève fin 2008.
[[page]]
La solution donne satisfaction mais impose deux contraintes. Tout d'abord, faute d'une synchronisation avec Active Directory, elle exigeait un double log-in - celui de l'outil puis celui de Windows. D'autre part, à chaque population homogène (marketing, commerciaux...) devait correspondre un fichier de configuration spécifique. Cela compliquait le déploiement et entrainait un support spécifique à chacune de ces populations. La difficulté était accrue lorsqu'un utilisateur changeait de population.
Une architecture centralisée est déployée en 2010
Début 2009, il est donc décidé d'adopter une nouvelle architecture qui permettra de contourner ces inconvénients. Le choix de l'outil se tourne alors vers SafeGuard Enterprise qui permet de définir, de façon centralisée, des politiques de sécurité différentes pour chaque population.
De plus, une meilleure délégation des droits assure une continuité du support, même lorsque des utilisateurs changent de poste dans l'entreprise. Enfin, la synchronisation des comptes avec Active Directory devient possible. Il suffit donc d'un seul mot de passe pour démarrer la machine et gérer le chiffrement, qui devient ainsi pratiquement transparent pour l'utilisateur. Le déploiement massif devrait intervenir en septembre 2010 sur la base de la version 5.5 de SafeGuard Enterprise, annoncée en avril dernier. Elle apporte un support complet de Windows 7, ce qui se traduira essentiellement par des performances améliorées.
Hadopi : la CNIL valide la collecte d'adresses IP
Petit à petit, les procédures de la loi sur la protection des oeuvres se débloquent. Dernier élément en date, l'approbation par la CNIL (Commission Nationale de l'informatique et des libertés) de la collecte automatisée des adresses IP des abonnés téléchargeant sur des sites de téléchargements illégaux. Cette traque est du ressort des sociétés d'ayant droit, comme la SPPF (la première à se réjouir de cette approbation), la Sacem ou l'Alpa. Pour les aider, ils font confiance à TMG (Trident Media Guard) pour effectuer ce recensement.
Cette validation ouvre la voie à la saisine de l'Hadopi par les ayants droits, via des agents assermentés. La Haute autorité pourra ainsi envoyer des messages aux abonnés soupçonnés, via les FAI. Les premiers messages doivent être envoyés au début du mois de juillet.
L'iPhone 4 est-il prêt pour l'entreprise ?
Dans les mois qui viennent, Matt Morse, principal administrateur informatique de Varian Medical, un fabricant californien d'appareils médicaux et de logiciels pour les hôpitaux et les cliniques présent dans 60 pays, prévoit de vivre une valise à la main et de parcourir le monde dans le seul but de mettre en place l'utilisation de l'iPhone (et peut-être de l'iPad) dans son entreprise. Il va consacrer du temps à élaborer, pour l'iPhone, une stratégie qui s'inscrive dans l'infrastructure informatique existante et réponde aux exigences de sécurité et de budget. Il a même prévu de faire suivre cette mise en place par des tests pratiques. Et si tout va bien, l'an prochain, il commencera à déployer l'iPhone auprès de ses employés qui travaillent sur le terrain, en remplacement du BlackBerry. « Je pense que cette phase d'expérimentation et de validation du concept prendra au moins six mois, » a déclaré Matt Morse. « Il y a tellement de choses à apprécier dans une nouvelle plate-forme ! »
Lorsque Steve Jobs, le PDG d'Apple, a dévoilé l'iOS 4, anciennement iPhone OS 4.0, les PDG et les analystes techniques se sont réjouis des fonctionnalités que ce système d'exploitation apporterait au monde de l'entreprise. Il offre la possibilité de distribuer en interne des applications en mode sans fil, le multitâche, la protection des données pour les applications et le courrier électronique, la possibilité de réaliser les mises à jour des appareils mobiles, et le support du SSL VPN via des applications Juniper et Cisco, entre autres. Mais l'iOS 4 qui sera livré au grand public cet été ne suffira pas à ouvrir immédiatement les portes de l'entreprise à l'iPhone. Au contraire, ce ne sera que le début de la longue marche que le smartphone de la pomme va devoir entreprendre pour conquérir le monde professionnel. Et pour des spécialistes comme Matt Morse, « il reste encore beaucoup à faire. »
L'équation de la sécurité
Au cours des cinq dernières années, les salariés de Varian ont eu des BlackBerry à leur disposition pour les aider dans leur travail. En première ligne sur le terrain, aussi bien pour les ventes que pour le service, ils se sont appuyés sur le système de messagerie collaboratif Microsoft Exchange, réalisant quelques incursions dans SharePoint, Office Communicator et VoIP. Par ailleurs, grâce au logiciel propriétaire de services mobiles en ligne appelé MSO (Mobile Services Online) qu'a développé Varian, les techniciens de terrain équipés de BlackBerry peuvent se connecter en toute sécurité à leur back-office SAP. Avec MSO, ils peuvent notamment gérer les billets émis pour le service à la clientèle sans avoir à ouvrir un ordinateur portable, consulter les plannings, les ordres d'expédition, répartir les ressources, pour finalement assurer un temps de réponse « dans les 10 minutes. »
« Il y a trois ans, lorsque l'iPhone est arrivé, les cadres de Varian ont été séduits par l'interface. Et chaque année, les employés ont réclamé de plus en plus d'iPhone, » raconte Matt Morse. Avec la sortie de l'iPhone 3G, lui et son équipe ont dû officiellement assurer la prise en charge du mobile d'Apple. Aujourd'hui, chez Varian, un mobile sur trois est un iPhone. Mais aucun des techniciens travaillant sur le terrain - soit environ 1 600 dans le monde - n'est autorisé à remplacer son BlackBerry par un iPhone. Du moins, pas pour l'instant. Essentiellement parce que, pour travailler, les techniciens dépendent impérativement de MSO et celui-ci n'existe pas encore sur iPhone en raison de questions de sécurité persistantes, de fiabilité et de problèmes de gestion. « Avec EBS, le BlackBerry permet l'intégration aux systèmes de l'entreprise, et nous procure le niveau de sécurité nécessaire comme il nous permet de gérer les mobiles à distance, » explique Matt Morse. « Nous pouvons modifier nos politiques d'accès, garantir une plus grande disponibilité de service et assurer une meilleure surveillance que nous ne le pourrions avec un dispositif de type Active Sync pour l'iPhone. »
[[page]]
« Mais avec ses promesses de sécurité et de fonctionnalités de gestion, iOS 4 place potentiellement l'iPhone à parité avec le BlackBerry, » estime Matt Morse. Bien sûr, il faudra attendre la sortie de la version finale pour le savoir avec certitude. « J'ai évalué une préversion du SDK, mais ici nous ne jouons pas avec les versions bêta, » a-t-il convenu. « L'iPhone 4.0 nous offre l'occasion de démarrer une véritable expérimentation des possibilités de ce matériel. » Autre facteur qui va dans le sens de ce déploiement : Varian a utilisé MobileManager de Zenprise pour effectuer la gestion des BlackBerry, qui permet aux départements informatiques d'identifier l'utilisateur de l'appareil mobile, comment il accède au réseau, et avec quelle version de l'OS il travaille. Or MobileManager de Zenprise prend désormais en charge l'iPhone.
Avant que Matt Morse ne donne le feu vert à ses techniciens sur le terrain les autorisant à utiliser le smartphone d'Apple, il devra également généraliser l'iPhone 3GS en raison de son dispositif de cryptage, la normalisation en cours sur l'iPhone 3G ne suffisant pas aux techniciens de terrain qui ont besoin d'un niveau plus élevé de sécurité.
Objectif final : des Web Apps rapides à déployer
Cependant, la sécurité et la gestion ne sont qu'une partie de l'enjeu pour le choix de l'iPhone dans l'entreprise. Ce terminal mobile propose une plate-forme très riche en matière de développement et d'architecture de services. Et Matt Morse explique qu'il doit considérer non seulement ce que l'iPhone apporte, mais aussi « ce qu'il pourra permettre de faire à l'avenir « (et si Apple et l'iPhone seront en mesure d'y faire face). « C'est une vraie question. »
Mais il n'hésite pas à s'emballer, par exemple, sur le potentiel de l'iPhone comme débouché pour les applications en ligne « Ce qui est très attractif avec les applications web, c'est leur possibilité de développement rapide et donc de mise à jour. Imaginez un logiciel MSO dynamique : les iPhone et les iPad deviendraient des rock stars en matière de solution, » assure-t-il. «Nous ne parlons pas seulement d'appareil mobile avec une technologie dotée d'une interface glamour, nous parlons d'un appareil qui permet aux gens de faire leur travail, de résoudre des problèmes, et pour lesquels nous pouvons constamment faire évoluer l'outil principal. »
[[page]]
D'ici là, Matt Morse devra rencontrer les managers de terrain, les ingénieurs et les installateurs de son entreprise partout dans le monde pour apprécier dans quelle mesure un iPhone ou un iPad peuvent améliorer leur travail. Est-ce que la géo-localisation de l'iPhone permettra de mieux répartir les ressources? Est-ce que les réseaux sociaux mobiles seront plus efficaces ? Quelles sont les données que l'iPhone devra traiter ? Va t-il faciliter l'interaction avec le client ? «Il y a un nombre de choses étonnant à découvrir parce que les capacités de l'iPhone sont énormes,» dit-il. « Cela nous oblige aussi à réduire notre champ à des applications viables, et à ne pas nous laisser disperser, où nous ne réussirions jamais à réaliser ce déploiement. »
Après les attaques, Adobe corrige les failles de Flash
La mise à jour Flash 10.1 d'Abobe publiée hier jeudi vient corriger un bug qui a été la cible d'un petit nombre d'attaques en fin de semaine dernière. Selon Symantec, les attaques exploitant cette faille de Flash ne se sont pas encore généralisées, mais tous les utilisateurs sont invités à mettre à jour leur logiciel le plus tôt possible. "Nous avons constaté une augmentation modeste, mais régulière des fichiers PDF malicieux exploitant cette faille et nous nous attendons à voir ces chiffres augmenter au cours des prochaines heures ", explique dans un communiqué le spécialiste de la sécurité.
Les criminels ont rapidement exploité cette faille en utilisant des fichiers SWF ( shockwave flash object ) infectés, qui sont généralement ouverts par le lecteur Flash intégré comme plug-in à un navigateur web, ou via des fichiers PDF intégrant du code Flash malicieux, a expliqué Adobe. Les fichiers PDF vérolés sont généralement ouverts par les logiciels Reader ou Acrobat, qui incluent leurs propres versions de lecteur Flash qui n'ont pas encore été corrigées. Un correctif est attendu le 29 juin prochain.
La mise à jour de jeudi dernier inclut un nombre inhabituellement élevé de correctifs de sécurité, 32 en tout. «Cela fait beaucoup de bugs corrigés d'un coup, le genre de chose que fait d'habitude Apple", a déclaré Andrew Storms, directeur des opérations de sécurité chez nCircle Network Security. Les logiciels Reader et Flash d'Adobe sont devenus des cibles de choix pour les pirates cette année, et l'éditeur est désormais obligé d'accélérer les mises à jour de sécurité pour suivre le rythme des attaques.
La CNIL donne son aval pour recourir à la biométrie au parloir
La CNIL autorise la biométrie dans la sécurité carcérale. Depuis la réforme de 2004 de la Loi Informatique et Libertés, les traitements biométriques doivent être expressément autorisés par la CNIL. Celle-ci a toujours été très réticente vis-à-vis de ces technologies très invasives et très risquées pour la vie privée.
Le projet Bioap, mis en oeuvre dans chaque prison au fur et à mesure de son déploiement, comprendre les données suivantes : nom de famille, nom d'usage, alias et prénoms ; numéro d'écrou ; une photographie d'identité numérisée ; un gabarit du contour de la main ; et un suivi des contrôles d'identification. La photographie ne fait pas l'objet d'un processus de reconnaissance automatique. De plus, le contour de la main est plus simple à mettre en oeuvre que le contrôle des empreintes digitales. Surtout, la CNIL a été sensible à la durée et aux modalités de conservation des données : chaque prison aura son propre traitement, et les données ne seront conservées que durant la détention effective dans la prison concernée. Elles seront détruites lors d'un transfert définitif ou d'une libération.
Les moyens mis en oeuvre sont donc compatibles et proportionnées avec les finalités déclarées.
Les restrictions apportées par la CNIL dans un projet relatif aux établissements pénitentiaires sont là pour rappeler aux entreprises privées qu'elles ne peuvent pas mettre en oeuvre des traitements plus invasifs vis à vis de personnes libres.
Les risques du Cloud Computing analysés par CA Technologies et Solucom
Désireuses de maîtriser leurs coûts, les entreprises sont également soucieuses du niveau de sécurité de leurs données basculées sur le Cloud. La perte de pouvoir de la DSI de l'entreprise sur une telle infrastructure ainsi que le manque de maîtrise de la disponibilité des services sont à ce titre souvent cités comme autant de freins.
Avant d'utiliser un service de Cloud, Gérome Billois, responsable de département chez Solucom, recommande l'analyse préalable de deux indicateurs : le niveau de confidentialité et le niveau de dépendance que l'entreprise est prête à accepter à l'égard de son hébergeur.
En matière de confidentialité, Gérome Billois précise que « lorsqu'une entreprise opte pour le Cloud Computing, elle rencontre des problèmes de gestion des identités et de revue des droits, surtout lors du départ d'un salarié. Après avoir rendu son badge, lorsque les applications sont hébergées sur le nuage, le salarié a toujours accès aux applications sur internet. L'entreprise doit vraiment veiller à supprimer le compte et à ôter les droits ».
Le suivi doit se faire de manière plus rapide et plus consciencieuse que dans le cas d'une infrastructure traditionnelle. Car le risque est d'autant plus important que les applications métiers sont sur internet.
[[page]]
Par ailleurs, Gérome Billois indique que « le marché du Cloud Computing est assez jeune et n'a pas de standard ». De ce fait, l'entreprise doit souvent s'adapter aux formats de données de son fournisseur. Avec l'émergence du Cloud, le rôle de l'IT interne à l'entreprise risque d'être transformé. Les DSI vont devoir s'adapter et instaurer de nouveaux modes opératoires et de nouveaux processus. Au lieu de gérer en direct les infrastructures, leur fonctionnement et leur évolution, la DSI va devoir contrôler tout ce qui concerne la politique de confidentialité et de sécurité des données.
De plus, comme l'explique Yves Leroux, stratège en technologie chez CA technologies, l'entreprise devra faire face à de nouvelles problématiques légales. En effet, « elle devra traiter les incidents et chercher le coupable en cas de défaillance et de perte de données ». Elle devra également travailler sur la conformité et mettre en place un audit interne.
En parallèle, l'entreprise utilisatrice devra gérer le cycle de vie de l'information, depuis sa création jusqu'à sa destruction afin de satisfaire à la politique de confidentialité. Enfin, avant d'externaliser le stockage de ses données sur le nuage, l'entreprise devra penser à la portabilité de ses données, afin d'envisager la manière dont elle les récupèrera si elle décide de ne plus être sur le Cloud.
Malgré un aspect de risque à prendre en considération, l'entreprise tire des bénéfices du Cloud Computing. Par exemple, en termes de coûts, les services applicatifs en mode SaaS lui permettent de ne payer que ce dont elle a besoin. Elle n'a pas à agrandir son infrastructure étant donné qu'elle peut louer davantage de serveurs auprès de son hébergeur en cas de pics de charge. Le Cloud offre également l'avantage de pouvoir rapidement déployer des applications.
Des pirates exploitent un bug critique dans Adobe Reader et Flash
Adobe a déclaré que le bug affectait cette fois la version 10.0.45.2 du Player Flash, soit la mise à jour la plus récente du très populaire lecteur de médias, mais n'épargne pas les anciennes versions sous Windows, Macintosh, Linux et Solaris. Le lecteur de fichiers PDF Reader 9.x comme l'outil de création de documents PDF Acrobat 9.x pour Windows, Macintosh et Unix sont également concernés, et leurs failles sont déjà exploitées par les pirates. «Des rapports indiquent que ces failles sont activement exploitées contre Flash Player, Reader et Acrobat, » a indiqué Adobe dans un communiqué de sécurité publié dans la nuit de vendredi. Secunia, une société danoise spécialisée dans la traque des bogues, a qualifié la menace d'« extrêmement critique, » soit l'échelon le plus élevé parmi les cinq dans le système de notation. L'US Computer Emergency Readiness Team (US-CERT), un département fédéral du ministère de la sécurité intérieure, a également mis en garde contre cette vulnérabilité. Adobe a reconnu que les pirates exploitant la faille pouvaient être en mesure de prendre le contrôle de l'ordinateur visé.
L'alerte mettant en garde contre ce bogue a été quasiment identique à celle publiée par Adobe le 22 Juillet 2009, quand l'éditeur informait que son lecteur Flash, Reader et Acrobat présentaient tous trois une vulnérabilité et faisaient l'objet d'attaques. Adobe avait corrigé la faille le 31 juillet 2009, mais certains chercheurs ont affirmé que l'éditeur connaissait son existence dans Flash depuis plus de 6 mois. Le communiqué publié vendredi note également que la vulnérabilité est présente non seulement dans Flash, mais aussi dans le fichier « authplay.dll » accompagnant chaque copie du Reader et d'Acrobat pour Windows, une librairie qui gère le contenu Flash intégré dans les fichiers PDF. L'an dernier, les pirates avaient exploité le bug de l' »authplay.dll » via des documents PDF piégés, et l'ont également exploité pour mener leurs attaques, poussant les utilisateurs à visionner des contenus Flash malveillants sur des sites de streaming ciblés. Adobe n'a donné aucun détail sur la nature des attaques en cause - la première avait été repérée vendredi matin - mais il est probable que celles-ci utilisent les mêmes tactiques.
[[page]]
L'éditeur a pris plusieurs mesures pour contrer les attaques, y compris celle de mettre en oeuvre des méthodes de développement produisant un code plus sécurisé. Adobe n'a pas fixé de calendrier pour la livraison d'un patch, mais, la semaine dernière, Brad Arkin rappelait que l'équipe chargée de la sécurité avait mentionné à plusieurs reprises qu'elle s'imposerait un délai maximum de 15 jours quand il s'agit de correctifs de sécurité. Si la société s'en tient à ces éléments, cela signifie qu'elle pourrait livrer un patch au plus tard le 19 juin.
En attendant, les utilisateurs du Reader et d'Acrobat peuvent se protéger en supprimant ou en renommant authplay.dll. Ce faisant, l'ouverture d'un fichier PDF contenant un contenu Flash plantera le logiciel ou affichera un message d'erreur. Enfin, la version 10.1 Release Candidate du Player Flash, téléchargeable sur le site d'Adobe, « ne semble pas être vulnérable, » a indiqué Adobe, invitant implicitement les utilisateurs à passer à cette version inachevée mais plus sûre. (...)
Visa rajoute une protection pour les achats sur Internet
La solution baptisée CodeSure Visa comprend une puce bloquée par un code PIN (numéro d'identification personnel). Celle-ci se déverrouille avec un code à 4 chiffres, comme lors de paiement chez un commerçant ou un distributeur de billets.
Cependant, les transactions en ligne sont plus sensibles, car les sites n'utilisent pas le système de code PIN. Ils préfèrent se baser sur les trois chiffres gravés derrière la carte bleue. Mais Un hacker qui a obtenu des détails tels que numéro de la carte, date d'expiration et code de sécurité à trois chiffres (par exemple en autorisant son navigateur à garder en mémoire ses informations sensibles pour éviter les retaper) peut être en mesure de faire un achat en ligne.
Visa et Mastercard ont demandé aux sites marchands des mesures complémentaires, comme le système 3DS. Ce dernier implique que l'acheteur entre un mot de passe ou des parties d'un mot de passe dans un navigateur qui s'affiche lors de la validation de la transaction.
[[page]]
Mais les groupements bancaires considèrent que les mots de passe sont statiques et donc vulnérables.
Une carte à puce et à clavier
L'afficheur alphanumérique et le clavier sur la carte Visa CodeSure est une étape supplémentaire dans la protection des achats en ligne. Concrètement, au cours d'une transaction, le client devra cliquer sur « Vérifier par Visa » et entrer son code PIN sur le clavier. Si le code est correct, la carte génère un code d'accès électronique unique qui peut être entré dans le cadre « Vérifié par Visa ». Ce code d'authentification unique n'est valable que pour une période de temps très court. S'il devait être intercepté par un pirate, il devrait être utilisé rapidement avant expiration.
D'autres services sont envisagés avec cette technologie, comme les services bancaires en ligne, selon Visa. La banque donnerait un nombre, appelé un code numérique dynamique, que le client entrerait sur la carte. Si ce nombre est authentifié, il est confirmé que la demande provient bien de la banque du client. Ce dernier, après saisie de son code PIN, générera un code d'accès unique pour la transaction. Ce processus s'appelle une authentification mutuelle. Les mêmes étapes pourraient être utilisées lors d'une transaction téléphonique en utilisant une carte CodeSure. A noter que sur celle-ci, l'autonomie de la puce est estimée à trois ans, ce qui est beaucoup au regard de la taille de la carte (...)(04/06/2010 14:45:09)Patch Tuesday : Microsoft corrige Windows, IE, Excel et SharePoint
Pas moins de dix mises à jour de sécurité vont être livrées par Microsoft dans son prochain « Patch Tuesday », prévu pour le mardi 8 juin 2010. Elles doivent remédier à 34 points faibles affectant le système d'exploitation Windows, le navigateur Internet Explorer, la suite bureautique Office et le portail collaboratif SharePoint. Andrew Storms, directeur des opérations de sécurité chez nCircle Security, malgré tout temporise un peu l'importance de la livraison, considérant le nombre réduit de bulletins jugés « critiques » (trois sur dix). « Cela ne me semble pas être une livraison gigantesque ».
Pourtant, 34 vulnérabilités au total à rectifier, cela équivaut au record enregistré lors du Patch Tuesday d'octobre 2009. Microsoft livre généralement de façon alternée de petites et de grosses fournées de rustines, les plus importantes arrivant les mois pairs. En mai, par exemple, l'éditeur n'a publié que deux bulletins pour corriger deux fragilités, tandis que la livraison d'avril comportait onze bulletins rectifiant vingt-cinq défauts.
Toutes les versions de Windows sont concernées
Comme d'habitude, Microsoft a publié par avance une notification afin de renseigner ses utilisateurs sur les dix mises à jour auxquelles ils doivent se préparer pour mardi prochain. Trois d'entre elles sont donc qualifiées de « critiques », le plus haut niveau sur l'échelle des indices de gravité établie par Microsoft (l'échelle comporte quatre niveaux : critique, important, modéré, faible). Deux se rapportent à Windows, la troisième vise Internet Explorer. Les sept autres mises à jour du Patch Tuesday sont jugées « importantes ».
Windows Seven est concerné par l'ensemble des mises à jour qui s'appliquent au système d'exploitation. Et, à deux exceptions près, toutes les versions de Windows actuellement supportées auront besoin de l'ensemble des correctifs liés à l'OS (le bulletin 9 ne s'applique pas à 2000, ni à XP).
Illustration : extrait de la notification de Microsoft sur le Patch Tuesday du 8 juin 2010
[[page]]
Les versions 6, 7 et 8 d'Internet Explorer sont dans la boucle avec des rectificatifs critiques pour chacune sous Windows 7, Vista et XP. Seule la plus vieille mouture du navigateur encore supportée (IE 5.01 sous 2000) n'est pas touchée. « IE va se retrouver en tête de liste cette fois-ci », prévoit Andrew Storms.
Microsoft a pris l'habitude de corriger son navigateur tous les deux mois. La dernière fois remonte à fin mars, car il y avait alors urgence à intervenir sur le bug « zero-day », mais cette révision était initialement prévue pour avril.
Sur la suite bureautique Office, sont concernés Excel 2002, 2003 et 2007, sous Windows, ainsi que Excel 2004 et 2008, sur Macintosh. Excel 2010, tout juste livré avec Office 2010, ne contient pas le bug et n'a pas besoin de correctif, a confirmé Jerry Bryant, directeur général du MSRC, le centre de sécurité de l'éditeur, par courriel hier.
SharePoint Server 2007,
vulnérable au bug « zero-day »
Enfin, L'éditeur de Redmond rectifie aussi un problème identifié sur SharePoint Server 2007, révélé en avril. Le bug « zero-day » pourrait être exploité pour mettre la main sur des informations confidentielles au sein des entreprises. Andrew Storm recommande de faire attention au bulletin 3. Il est en effet jugé « critique » pour Windows 2000, XP, Vista et Windows 7. Pour la partie serveur de l'OS, en revanche, il est qualifié de « modéré ». « Côté client en revanche, il faudra faire la mise à jour aussi vite que pour IE la semaine prochaine », conseille le directeur des opérations de sécurité chez nCircle Security.
Les mises à jour de juin seront les avant-dernières pour Windows 2000 et Windows XP SP2. Ces deux versions seront en effet retirées du support de sécurité à la mi-juillet.
Les correctifs seront livrés à 19 heures (heure française) le 8 juin 2010 (1 p.m. ET).
| < Les 10 documents précédents | Les 10 documents suivants > |