Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 901 à 910.
| < Les 10 documents précédents | Les 10 documents suivants > |
(03/06/2010 10:33:44)
La vision de l'éthique numérique selon l'UMP
Hadopi, Dadvsi, diatribes aberrantes et répétées du porte-parole de l'UMP Frédéric Lefebvre... Le parti du Président de la République a bien besoin de se refaire une santé dans l'opinion des internautes et des informaticiens. Dans cette optique, des députés UMP ont constitué le groupe de travail « Ethique du Numérique » qui vient de publier un rapport.
L'angle de ce travail est clairement sécuritaire. Internet est avant tout une source de dangers et de menaces, en dehors de banalités dans l'introduction et d'un rapide paragraphe sur les « opportunités du monde numérique ». Il est vrai que le souci des députés UMP était de voir le rôle du législateur face au développement du numérique en général, de l'Internet en particulier.
On trouve dans le rapport beaucoup d'idées courantes sur la nécessité d'améliorer la gouvernance d'Internet. Les députés proposent, de façon plus originale, de créer une « CNIL européenne » qui émanerait des différentes autorités de protection des données personnelles et issue du fameux G29 qui coordonne déjà les travaux des organismes nationaux. Son rôle serait d'amener une harmonisation des règles (ce que fait déjà le Parlement Européen au travers des Directives et le G29) et de proposer des référentiels de bonnes pratiques pour les fournisseurs, ceux les suivant étant labellisés.
L'identité numérique et le droit à la vie privée est, à juste raison, considéré comme une source importante de problèmes.On notera ainsi un paragraphe (de rédaction prudente) fustigeant le pseudo-anonymat sur Internet qui déresponsabiliserait les internautes et les inciterait à commettre toutes sortes de délits (diffamation, contrefaçon...). La contradiction entre refus de l'anonymat et défense de la vie privée n'a pas effleuré les députés, même dans un dialogue à l'Assemblée Nationale entre l'un des auteurs et la secrétaire d'Etat à l'économie numérique.
[[page]]
Mais le coeur du rapport est clairement sur l'un des thèmes chers à Nathalie Kosciusko-Morizet : le droit à l'oubli numérique. Les actions envisagées relèvent à la fois de la sensibilisation des internautes et autres usagers mais aussi par, encore une fois, des référentiels de bonnes pratiques pour les acteurs eux-mêmes (au premier rang desquels Google ou Facebook), la CNIL pouvant se charger de les labelliser (à leur frais).
La sensibilisation est clairement insuffisante
Au-delà de la sensibilisation, les députés sont conscients d'un manque de formation de la population. Ils désirent donc accroître la formation des enseignants et des étudiants du supérieur. Le développement des connexions haut débit des écoles est une nouvelle fois réclamé, avec un objectif de 100% de couverture. S'il n'est pas prévu de faire passer leur B2I aux députés, sénateurs et membres du gouvernement, le rapport mentionne enfin, page 25, la nécessité de former les élus.
Mais c'est pour aussitôt revenir à la marotte de l'UMP dès que l'on parle Internet ou numérique : la défense coûte que coûte de la propriété intellectuelle. Les errements sécuritaires autour de la DADVSI ou de l'Hadopi n'ont donc pas suffit. Cependant, il faut reconnaître que les députés prennent enfin conscience que l'approche adoptée jusqu'à présent est d'une part déjà techniquement obsolète, d'autre part favorisant une relation déséquilibrée entre vendeurs et consommateurs, avec faveur aux premiers.
LCEN : la remise en cause d'une distinction trop dichotomique
Autre marronnier des députés, la remise en cause de la distinction simple entre prestataire technique et responsable du contenu posée par la LCEN (loi sur la confiance dans l'économie numérique). Les députés UMP ne sont toujours pas convaincus que la jurisprudence ait bien fixé les limites de responsabilité et d'irresponsabilité... sans poser de cas concret de problème relevant du législateur.
[[page]]
Il est vrai que plusieurs soucis sont soulignés : les sites de notation (restaurants, hôtels, médecins...) sont parfois aux limites de la diffamation, les procédures judiciaires sont souvent trop lourdes face à de nombreux petits litiges...
L'ogre Google face au gentil Microsoft
Le rapport contient également une partie au titre prometteur : « des abus de position dominante dans le monde numérique ». Mais l'UMP continue de soutenir Microsoft, seul éditeur de logiciels à avoir été consulté selon la liste fournie en annexe. Il n'est donc pas mentionné dans cette partie le problème des ventes liées logiciels-matériels (notamment l'installation de Windows sur presque tous les PC vendus en grande surface) ou celui du respect de formats vraiment ouverts. Par contre, la position dominante de Google dans la recherche et le domaine de la régie publicitaire en ligne est bien mentionnée. Les accords entre Yahoo et Microsoft ainsi que la sortie de Bing n'ont donc pas été suffisants pour abattre Google : l'UMP est appelée au secours.
Notons cependant que le rapport mentionne la faible contribution fiscale des acteurs du numérique au regard des chiffres d'affaires générés. Les députés songeraient-ils à des éditeurs installés en Irlande pour vendre leurs produits en France ? De même, le seul site d'éditeur mentionné dans les liens recommandés par Ethique du Numérique, c'est encore une fois Microsoft.
Zscaler arrive en France
Un nouvel acteur arrive en France et en Europe sur le marché de la sécurité, Zscaler. Créée en 2006, Zscaler est une start-up américaine, spécialiste du filtrage des flux web sortants. Sa solution permet le filtrage par antivirus, mais apporte aussi le contrôle des flux et une vision centralisée pour l'entreprise des contrôles d'accès de chaque utilisateur. Voilà pour l'aspect purement sécurité.
Zscaler innove également en étant totalement Saas et totalement cloud. En clair, elle s'est dotée d'une infrastructure mondiale avec une vingtaine de points de présence. Partout dans le monde le nomade professionnel peut accéder à ses données, mais l'entreprise peut connaître le trafic. C'est une sécurité à la fois plus simple et plus centralisée. « Au lieu d'acheter et de maintenir en condition une solution matériel et logiciels, il suffit de configurer pour être redirigé vers le cloud », note Frédéric Bénichou, directeur EMEA.
Depuis ses débuts, la société américaine est distribuée totalement en indirect et en one tiers. La société utilise trois types de partenaires : des intégrateurs spécialisés en sécurité (tels que Nomios ou NES conseil), de grands intégrateurs pour les grands comptes (Telindus, Integralis, OBS) et des spécialistes du Saas comme SecureView (...)
Microsoft admet ne pas communiquer sur toutes les failles de sécurité
« Microsoft communique un numéro de Common Vulnerabilities and Exposures (CVE) unique lorsque plusieurs failles sont concernées par la même vulnérabilité, visées par à un même vecteur d'attaque et une manoeuvre de contournement identique. Si l'ensemble de ces bugs partagent les mêmes propriétés, alors ils ne sont pas déclarés séparément, » a expliqué Mike Reavey. Cette absence de divulgation de correctifs par Microsoft a été dévoilée au début du mois par Core Security Technologies, laquelle a mis en évidence trois patchs « muets » dans les correctifs MS10-024 et MS10-028 qu'elle a décortiqué. Le bulletin de sécurité MS10-028 concernait une faille qui exposait l'utilisateur de Microsoft Visio à une attaque visant à saturer la mémoire tampon pour prendre le contrôle du système. A l'époque, l'éditeur n'avait pas signalé les autres bugs patchés en même temps au motif que «le vecteur d'attaque était exactement le même, et la gravité tout à fait identique. Du point de vue du client, la même solution a été appliquée, à savoir ne pas ouvrir de documents Visio à partir de sources non fiables », a déclaré Mike Reavey à Webwereld, filiale d'IDG, lors d'une interview.
Adobe a également gardé le silence sur certains correctifs de vulnérabilité. Pendant la conférence de Microsoft, Brad Arkin, responsable de la sécurité et de la confidentialité des produits chez Adobe, a admis que l'éditeur n'attribuait par de numéros CVE à des bogues que l'entreprise identifiait en interne. L'éditeur estime que ces mises à jour sont des « améliorations de code», a déclaré Brad Arkin. Les numéros CVE ne sont utilisés que pour les bugs activement exploités ou qui ont été signalés par des chercheurs extérieurs.
[[page]]
Le fait de se taire sur les mises à jour de sécurité n'est pas sans conséquence. Les éditeurs et les chercheurs en sécurité ont utilisé des chiffres CVE pour évaluer la sécurité des différents systèmes d'exploitation et des applications. Lors de la conférence de presse, Microsoft a montré une diapositive comparant le nombre de mises à jour de sécurité réalisées pour UbuntuLTS, Red Hat Enterprise Linux 4, OS X 10.4 ainsi que pour Windows Vista et Windows XP. Dans une autre diapositive, elle a montré celles effectuées pour SQL Server 2000, SQL Server 2005, comparée à une base de données anonyme concurrente.
Mike Reavey admet que cette comptabilité des failles de vulnérabilité est imparfaite, mais soutient que, comme outil de comparaison de base, cela a tout de même un sens. « On peut mesurer la sécurité de plusieurs manières. L'estimation de la vulnérabilité par le comptage des bugs en est un, et il n'est pas parfait. » La comparaison du nombre de vulnérabilités par ligne de code de logiciel est un autre indicateur.
S'il fait valoir que ces décomptes sont des moyens utiles pour comparer les produits entre fournisseurs, il a aussi minimisé l'enjeu du calcul des vulnérabilités, le qualifiant de méthode «comptable» qui a, selon lui, essentiellement pour effet de détourner les chercheurs de leur fonction de corriger les bugs. « Quand une faille est signalée, l'entreprise préfèrerait travailler à optimiser un outil de recherche capable de traiter 200 bogues liés. Techniquement, le code peut contenir 200 vulnérabilités, mais « en modifiant une ligne de code, vous perdez parfois la possibilité de corriger 200 problèmes potentiels par fuzzing. Est-ce que cela compte pour une ou pour 200 vulnérabilités ? Je ne sais pas vraiment. Mais si nous passons du temps à tenir une comptabilité exacte, c'est autant de temps en moins pour trouver la solution pour protéger nos clients, » a t-il déclaré.
(...)(28/05/2010 12:11:56)Facebook revoit ses paramètres de confidentialité
Face à l'inquiétude des internautes concernant leurs informations personnelles accessibles sur le site Facebook.com, le réseau social propose désormais de nouvelles fonctionnalités de confidentialité. Comme nous vous l'annoncions le 26 mai, l'avancée majeure est une application automatique en amont et en aval des paramètres sur les diverses informations publiées par l'internaute. Aujourd'hui, dès qu'un internaute choisit un paramètre avancé de type "Amis uniquement", le réglage opère sur l'ensemble des informations déjà publiées, mais également sur les futures. Il suffit de cliquer une seule fois sur le paramètre choisi pour que celui-ci soit appliqué sur l'ensemble des informations mises en ligne, ou en partie.
Le réseau social se veut plus protecteur. Ainsi, l'internaute peut désactiver l'accès à ses informations personnelles par les applications et sites tiers présents sur Facebook. Dès qu'un internaute ajoute une application à son profil, celle-ci devra automatiquement demander l'autorisation d'accéder à toute information personnelle. Et pour plus de clarté, tous les paramètres apparaissent à présent sur une seule et même page.
Crédit Photo D.R.
Réseaux sociaux et données personnelles, inquiétude française
Plus des trois quarts (76,7%) des internautes français craignent pour leurs données personnelles publiées sur les réseaux sociaux. Selon l'étude "Vie privée et réseaux sociaux" du Groupe ETO et de Market Audit, publiée jeudi 27 mai, 56,8% des internautes trouvent même les réseaux sociaux intrusifs.
La défiance des internautes français vis-à-vis des réseaux sociaux est indéniablement installée sur la Toile. En plus de la crainte de voir leurs données personnelles facilement accessibles sur Internet sans leur accord, les internautes trouvent ces sites communautaires trop intrusifs.
Une résistance prononcée à la publicité ciblée
77,6% des personnes interrogées ne veulent pas de publicité ciblée sur leur page personnelle et autant ne sont pas fan d'une marque. Contrairement aux idées reçues, 60% des internautes affirment ne jamais recommander une marque ou un produit à leurs amis via leur page perso. Seul près d'un tiers des sondés accepteraient que leurs achats en ligne soient exploités par les marques et autres instituts marketing pour recevoir de la publicité ciblée et un peu plus d'un quart seraient d'accord pour recevoir de la pub en fonction des sites qu'ils visitent.
L'étude a été menée auprès de 694 internautes, du 19 au 26 mars 2010.
L'Europe hausse le ton sur la rétention des données personnelles
Les trois sociétés auraient fait de la rétention d'informations issues des moteurs de recherche sur une durée trop longue et en ne garantissant pas suffisamment l'anonymat, en violation des règles communautaires, explique le groupe de travail Article 29 (organe regroupant les autorités nationales pour coordonner la protection des données privées en Europe).
Depuis 2008, ce groupe demande aux moteurs de recherche de ne pas conserver les informations plus de 6 mois. Les trois acteurs visés ont tous acceptés de modifier leur délai de stockage qui pouvait atteindre 18 mois. Les données collectées par les moteurs de recherche peuvent comprendre plusieurs détails, les termes recherchés, la date et l'heure de la recherche, l'adresse IP et le type de navigateur, le système d'exploitation et la langue utilisée. Le problème de l'organe communautaire est que la directive européenne sur la protection des données ne donne pas une durée précise sur la conservation des données. Par contre, les autorités étatiques peuvent fixer et contraindre les acteurs à respecter un certain délai de rétention.
Ainsi, Google conserve les données complètes pendant neuf mois en effaçant la dernière partie de l'adresse IP. Le groupe de travail a écrit à l'éditeur pour souligner que cette politique n'empêche pas l'identification des personnes concernées. Car Google conserve les cookies - fichiers de données utilisés pour suivre le comportement de l'Internaute sur un site web - pendant 18 mois, ce qui permettrait une identification par corrélation des requêtes de recherche.
[[page]]
Le groupe Article 29 rappelle également qu'avec 95% de part de marché dans certains pays, Google avait une influence significative dans la vie quotidienne des gens. La firme de Mountain View a répondu « nous développons nos politiques fondées sur la meilleure expérience pour les utilisateurs à la fois en termes de respect de leur vie privée, de qualité et de sécurité de nos services ».
Des efforts à poursuivre
Prochainement, Yahoo prévoit un programme de « désidentification » des fichiers log des utilisateurs au bout de 3 mois. Certaines données « identifiables » étaient néanmoins conservées pendant 6 mois pour des raisons de détection de fraudes ou d'obligations légales. Cependant, Yahoo n'a pas fourni d'informations suffisamment claires sur l'identification des utilisateurs et sur les cookies, souligne le groupe de travail.
Fin 2008, Microsoft militait auprès de ses concurrents pour le délai de 6 mois. Aujourd'hui, il propose la suppression de l'adresse IP de l'ensemble des requêtes de recherche datant de 6 mois. Mais le groupe de travail a mis en faute la façon dont Microsoft gère les cookies pour les utilisateurs enregistrés et non enregistrés de son moteur de recherche.
Pour être complet, les trois sociétés ont été appelées à contrôler leurs actions sur la protection des données personnelles par des auditeurs externes. Enfin, le groupe issu de l'article 29, a envoyé un courrier à la Federal Trade Commission pour savoir si les pratiques des entreprises concernées n'étaient pas contraires au Federal Trade Commission Act.
Facebook simplifie ses paramètres de confidentialité
Sans s'étendre sur les détails, Andrew Noyes, le porte-parole de Facebook, a déclaré que les nouveaux outils de contrôle de la vie privée ont été conçus pour permettre aux utilisateurs de déterminer plus facilement qui peut voir leurs informations, et pour vérifier si ils autorisent ou non la société à partager ces éléments avec d'autres sites Internet. Dans un article publié lundi dans le Washington Post, Mark Zuckerberg a déclaré que l'entreprise avait commis des erreurs dans sa propension à étendre toujours plus les liens sociaux entre les utilisateurs, et que Facebook espérait introduire bientôt de nouveaux paramètres de confidentialité plus facile à configurer, assurant aux utilisateurs de ne pas voir leurs données personnelles partagées avec d'autres sites Web. «Notre intention était d'offrir de nombreuses options de contrôle, mais ce n'est peut-être pas ce que la plupart des utilisateurs attendaient, » a écrit le dirigeant. «Nous avons simplement raté le coche. Dans les prochaines semaines, nous allons ajouter des contrôles de confidentialité beaucoup plus simples à utiliser. Nous allons aussi donner un moyen facile de désactiver tous les services tiers. Nous travaillons d'arrache-pied pour faire en sorte que ces modifications soient opérationnelles aussi vite que possible. »
Le mois dernier, le nombre d'utilisateurs en colère se plaignant que Facebook veut aller trop vite et manque de rigueur en laissant échapper des informations privées, n'a cessé d'augmenté. Ils ont également fait part de leur mécontentement quant aux contrôles d'accès, qu'ils jugent compliqués et confus, et dont la maîtrise est nécessaire pour accéder aux paramètres activant la protection des données personnelles.
En avril, l'entreprise avait dévoilé une foule d'outils visant à étendre les partenariats externes, et permettant le partage d'informations avec d'autres sites Web. Ce changement avait provoqué une levée de boucliers chez les utilisateurs, incitant même le sénateur américain Charles Schumer (Démocrate-N.Y.) à écrire une lettre ouverte demandant à la US Federal Trade Commission de mettre en place des normes de confidentialité pour tous les sites de réseautage social, Facebook et ses rivaux Twitter et MySpace. Cette intervention avait conduit à une rencontre entre les dirigeants de la société et les collaborateurs de Charles Schumer.
(...)(26/05/2010 12:23:37)McAfee sécurise les smartphones en achetant Trust Digital (MAJ)
Pour Dave DeWalt, PDG de McAfee « l'acquisition de Trust Digital, société en pointe dans les solutions de gestion de la mobilité en entreprise doit étendre notre gamme actuelle et en particulier pour le marché de la sécurité des mobiles en pleine croissance » et d'ajouter « la force des deux entreprises réduira les risques de vulnérabilité et de malveillance lors du téléchargement d'applications par les collaborateurs ».
Trust Digital s'est spécialisé sur quelques systèmes d'exploitation mobile, comprenant iPhone OS, Android, WebOS, Windows Mobile et Symbian. Mark Shull, PDG de Trust Digital, explique « ensemble, nous pourrons aider les responsables IT des entreprises à dire « oui » à l'iPhone et aux mobiles Android ». La société comprend une douzaine de clients grands comptes et emploie 50 salariés, qui devraient rejoindre McAfee. Brian Foster, vice-président des produits chez l'éditeur de solutions de sécurité, souligne que la stratégie est d'améliorer la gestion des smartphones dans l'entreprise, en intégrant les capacités d'administration et de cryptage de Trust Digital pour Android (par exemple) et les différentes solutions de sécurité proposées par McAfee. Dans le plan, il est également prévu d'intégrer les produits de Trust Digital dans la console de gestion de l'éditeur, ePolicy Orchestrator.
« Cette opération a du sens pour McAfee, il peut ainsi répondre à une demande » développe John Giraud, analyste chez Gartner « la problématique de protéger les informations devient de plus en plus importante, sur l'iPhone et les smartphones Android en particulier. C'est un sujet d'actualité pour beaucoup de gens ». Il note également que Trust Digital était une acquisition abordable pour McAfee. Par contre, le montant de la transaction n'a pas été dévoilé.
WAB 2.1 apporte plus de simplicité et de sécurité
La solution WAB est toujours le produit phare de l'éditeur Wallix, spécialisé dans les solutions de sécurité informatique, qui vient d'ouvrir un bureau à Londres (Q1) avec le soutien d'Altran et prépare son arrivée aux États-Unis en septembre prochain. Le tout à petits pas selon Jean-Noël de Galzain, PDG de la société : « La sécurité financière est une notion très importante, nous avons toujours voulu garder une approche rentable pour notre activité d'éditeur.»
Avec ce WAB, l'éditeur fournit un sas à l'entrée du système d'information pour enregistrer tout ce qui se passe. « Nous proposons de gérer, d'auditer et de tracer toutes les actions au sein du SI » précise le dirigeant. Le WAB 2.1 arrive bien sûr avec son lot d'améliorations dans la gestion des mots de passe et des comptes nominatifs, la chasse aux orphelins, la supervision des profils utilisateurs et des délégations d'administration. Conçu à l'origine pour contrôler l'activité des prestataires, avec l'enregistrement de l'activité des utilisateurs, le WAB 2.1 permet aujourd'hui aux administrateurs de gérer les comptes à risques, centraliser la gestion des mots de passe, associer des droits d'accès à des utilisateurs et enfin enregistre les sessions d'administration. Marc Balasko, ingénieur avant-vente chez Wallix, précise que la sécurité des mots de passe peut être renforcée en générant des password complexes (jusqu'à 150 caractères par exemple) avec la console WAB. « Sur un compte critique, un email d'alerte peut être déclenché si un utilisateur se log. Il est même possible d'enregistrer en vidéo, au format Flash (compter 1,5 Mo par minute), ou en texte les sessions Windows. « Pour éviter en temps réel les attaques, certains accès peuvent être automatiquement bloqués ou une alerte par email expédiée lors d'une tentative de modification de mot de passe », précise encore Marc Balasko. La prévention des intrusions est un des axes de travail de Wallix, d'autres annonces sont à venir sur le sujet dans les prochains mois.
Plusieurs boitiers sont proposés pour ce lancement, le WAB 25 (25 adresses IP) à partir de 7000 € jusqu'au WAB 400 (400 adresses IP) à 60 000 €. Tous ces prix s'entendent avec le second boitier pour assurer la redondance en mode cluster actif/passif. Si le load balancing n'est pas encore supporté par ces équipements, un modèle rack 2U est attendu dans les prochains mois pour monter en puissance. Reste que ces solutions sont réservées aux administrateurs systèmes des entreprises qui ne sont bien sûr moins nombreux que les utilisateurs. Les machines virtuelles reposant sur la plate-forme WMware sont proposées aux mêmes prix.
Crédits photo : Wallix
(...)| < Les 10 documents précédents | Les 10 documents suivants > |