Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 941 à 950.
| < Les 10 documents précédents | Les 10 documents suivants > |
(20/04/2010 16:23:12)
Plusieurs régulateurs interpellent Google sur la vie privée
Cette lettre, envoyée en France par la CNIL, mais aussi par les régulateurs allemand, canadien, espagnol, irlandais, israëlien, italien, britannique, néerlandais et néo-zélandais, a été adressée prioritairement à Eric Schmidt, PDG de Google. Ses expéditeurs orientent leurs critiques principalement sur le service Buzz du géant de l'Internet. « Nous nous inquiétons de voir que trop souvent, le droit à la vie privée des citoyens du monde est laissé de côté lors du lancement de nouvelles applications technologiques. Nous avons été troublés par votre lancement récent de l'application de réseau social Buzz, qui a été fait dans le mépris des normes et des lois fondamentales en matière de protection de la vie privée. En outre, ce n'était pas la première fois que votre entreprise omettait de tenir compte du respect de la vie privée en lançant de nouveaux services », peut-on lire sur le site de la CNIL.
Les autorités en charge de la protection des données modèrent néanmoins leur propos en reconnaissant que Google n'est pas la seule entreprise à avoir mis en place des services aux mesures de protection de la vie privée inadéquates » et d'ajouter toutefois qu'elles exhortent Google à montrer l'exemple, au « titre de chef de file du monde virtuel ».
Les régulateurs proposent des recommandations pour éviter ces travers :
-collecter et conserver un minimum d'informations nécessaires à l'objectif du service,
-fournir une information claire et sans ambiguïté sur la façon dont les renseignements sont utilisés,
-créer des paramètres par défaut de protection des données,
-veiller à ce que les données soient protégées,
-donner la possibilité aux personnes de détruire leur compte, dans un délai raisonnable.
Illustration : site de la CNIL (crédit : DR)
La CNIL valide l'identification par empreinte digitale à fichier central
Depuis la réforme de 2004 de la loi « Informatique et Libertés », la CNIL doit autoriser les traitements nominatifs visant à une identification biométrique. Jusqu'à présent, la doctrine de l'autorité administrative indépendante avait été de refuser l'identification par empreinte digitale dans la majorité des cas et, pour les rares exceptions, à exiger un stockage de l'image biométrique de référence sur un support amovible possédé par la seule personne concernée. On ne parle pas ici, bien sûr, des traitements liés à la sécurité d'Etat.
Une brèche vient d'être ouverte pour la première fois dans cette doctrine : le centre hospitalier Oscar Lambret, Centre Régional de Lutte Contre le Cancer du Nord-Pas-de-Calais, a obtenu le droit de mettre en oeuvre une identification biométrique par empreinte digitale des patients subissant une radiothérapie, avec stockage centralisé des images biométriques de référence. Cette autorisation est qualifiée d'expérimentale dans le communiqué de la CNIL.
Des raisons d'exception
Tout d'abord, l'enjeu d'identification est extrêmement fort : une erreur sur le patient lors de l'administration d'un traitement radio-thérapeutique peut s'avérer grave voire mortelle. Les cadences de passage au centre s'accroissant, le risque d'erreur se multipliait en conséquence. De plus, les caractéristiques employées dans les dispositifs « habituels » d'identification biométrique comme le réseau veineux du doigt pouvaient être altérées soit par les maladies, soit par les traitements. La CNIL a privilégié la technique des empreintes digitales avec base centralisée, compte tenu des précautions prises par Oscar Lambret et sous réserve de l'accord express individuel des patients concernés.
[[page]]
La décision de délivrance (ou non) du traitement radio-thérapeutique restera en effet prise par le soignant pour qui l'identification biométrique sera une sécurité supplémentaire mais sans substitution aux mesures déjà en place. Enfin, le stockage sur support amovible n'était pas pertinent vue la population concernée, très affaiblie et susceptible de perdre ou d'oublier un tel support. La CNIL a donc accepté le stockage centralisé des informations biométriques.
La doctrine connait donc une évolution mais celle-ci reste circonscrite. Rappelons que l'empreinte digitale pose en effet de très gros soucis de sécurité puisque, au contraire des autres caractéristiques biométriques, elle laisse des traces sur tous les objets que nous touchons. La CNIL montre ainsi qu'elle est capable d'une certaine souplesse lorsque le sujet l'impose mais ce n'est pas pour autant une incitation à multiplier de tels traitements biométriques.
Des logiciels malveillants sur les sites en gouv.fr
Ce rapport trimestriel, qui se base sur une série de données provenant de sa Communauté IQ, comprend pas moins de 252 000 domaines infectés visités et identifiés grâce à 11,9 millions de visites de membres de cette communauté. Concernant les sites Internet français, les internautes de la Communauté IQ ont visité plus de 300 domaines infectés avec le suffixe .fr au cours du premier trimestre. Trois des sites les plus infectés par nombre de visiteurs sont asso.fr (associations), free.fr (pages Web perso du fournisseur Free) et gouv.fr. Ce dernier correspond à l'extension réservée aux sites officiels de l'Etat français, notamment les services administratifs en ligne et les différents ministères du gouvernement.
Les données montrent également que le terme « free » est particulièrement utilisé par les logiciels malveillants, qui ciblent les clients français. Il concentre plus du sixième des sites infectés utilisant ce mot dans l'URL. Ce rapport se base sur l'analyse de 145 581 sites Internet français en .fr dont 3 244 se sont révélés être infectés, soit un taux de 2,22% (contre 2,91% pour les sites chinois, 1,67% pour les sites russes, 2,24% pour les sites britanniques, et 1,98% pour les sites en .com).
Le spam en progression début 2010 selon Google
Néanmoins, au cours de l'année passée, les chercheurs en sécurité ont tout de même gagné quelques batailles importantes contre les spammeurs. En premier lieu contre les hébergeurs des systèmes des spammeurs, ensuite, contre les systèmes eux-mêmes. « Mais ils vont devoir à nouveau changer de tactique s'ils veulent gagner la guerre » souligne Google dans un post publié sur son blog d'entreprise. Désormais, les spammeurs sous-traitent l'envoi des messages à des opérateurs de réseaux de type botnet, qui contrôlent des groupes de PC infectés par des logiciels malveillants. Il existe des dizaines de botnets de tailles différentes, chacun obéissant à un serveur de commande et de contrôle différent dont il exécute les instructions.
Pendant les six premiers mois de l'année 2009, des spécialistes en sécurité ont concentré leurs efforts à l'identification des fournisseurs de services Internet ou de sociétés d'hébergement permettant à ces serveurs de commande et de contrôle de fonctionner, et les ont fermés. Mais le succès de cette stratégie a été de courte durée. Moins d'un mois après la fermeture de l'hébergeur 3FN, les boites mails des 18 millions d'utilisateurs des services professionnels Postini de Google ont été à nouveau envahis par autant de spams. Idem lors de la fermeture de Real Host, qui a entraîné la réduction du volume des messages indésirables pendant deux jours seulement, car les opérateurs botnet ont rapidement trouvé de nouveaux hébergeurs pour leurs serveurs et reprogrammé leurs robots.
Une autre voie de combat
Les experts en sécurité ont donc reporté leur attention vers ces serveurs botnets, les infiltrant et bloquant la réception de nouvelles instructions. « Cependant, la fermeture en fin d'année dernière de Mega-D, un botnet de 250.000 PCs, et la neutralisation en début d'année des services Waledac, Mariposa et Zeus, a eu peu d'effet sur la quantité de messages indésirables, les spammeurs ayant pu tout simplement se tourner vers d'autres botnets pour envoyer leurs e-mails » souligne la firme de Mountain View.
[[page]]
Ces victoires ont tout de même réduit le volume de spams de 12 % entre le quatrième trimestre 2009 et le premier trimestre 2010, même si sur un an (1er trimestre 2009/1er trimestre 2010), les quantités sont demeurées plus élevées. L'une des raisons de cette augmentation provient du nombre important de spams transportant des virus que les botnets ont disséminés pendant le second semestre de 2009, 3,7% de plus que le premier semestre, avec un pic au quatrième trimestre de 100 millions de messages infectés par jour. « De nombreuses machines infectées par ce virus auraient été enrôlées pour élargir les réseaux de botnets » soupçonne Google.
Si ce dernier ne donne pas des conseils aux chercheurs en sécurité pour orienter leurs prochaines batailles, d'autres n'ont pas manqué de désigner la cible. « Si la neutralisation de certaines entreprises d'hébergement au comportement de voyous ne suffit pas, et si la décapitation des botnets a un effet limité, la prochaine étape logique pour les FAI sera de cibler les PC qui composent les botnets, avec le blocage des ports TCP / IP à travers lesquels ils envoient les e-mails, et d'informer les propriétaires que leur PC a besoin d'un sérieux nettoyage » a déclaré Dave Rand, CTO de Trend Micro. Cette action a été essayée aux Pays-Bas et en Turquie avec un certain succès.
Facebook renforce sa communication sur la sécurité
Le réseau social annonce l'arrivée d'un espace de sécurité pour ses 400 millions d'utilisateurs. Elaboré par Facebook et son Comité consultatif de sécurité, fondé fin 2009 pour répondre aux attentes de ses membres en matière de sécurité, cette page apporte de nouvelles ressources pour informer aussi bien parents, autorités, éducateurs, qu'adolescents sur les outils de sécurité fournis par le site. Il comporte notamment un portail interactif proposant du contenu multimédia créé par Facebook et des organisations indépendantes spécialisées dans la sensibilisation des personnes à la sécurité en ligne. (...)
(13/04/2010 14:40:28)Attention aux fausses pubs sur Facebook
Selon Sandi Hardmeier, une chercheuse spécialisée dans la sécurité Internet, une publicité malveillante a été découverte dans une application pour Facebook qui redirigeait les utilisateurs vers un logiciel antivirus factice. La bannière en question, une publicité pour des cartes de voeux, apparaissait par intermittence dans Farm Town et a attiré, selon les informations publiées par Facebook, plus de 9 millions d'utilisateurs mensuels. « Lorsque la publicité au format Flash Shockwave était affichée, l'utilisateur était redirigé depuis Facebook vers un site web vendant de faux logiciels antivirus, après avoir traversé différents domaines, » a déclaré Sandi Hardmeier, qui s'intéresse aux publicités malveillantes et a rédigé un post sur ce sujet dans un blog.
Une note publiée sur le site Web de SlashKey, le développeur de Farm Town, informe qu'«à l'heure où nous écrivons, nous pensons que cette redirection entrainée par une ou plusieurs annonces sur le site est sans danger pour votre ordinateur, mais vous ne devez en aucun cas suivre les liens dirigeant vers un quelconque logiciel vous proposant de « nettoyer votre système. ». Ajoutant que « la plupart des « bons antivirus et des programmes antimalware sauront repérer ce logiciel malveillant et le neutraliser. » Pour sa part, Sandi Hardmeier ne croit pas que ce malware soit inoffensif. « Je suis déçu de voir que le développeur cherche à minimiser le risque, » dit-elle.
Matt Brummett, un des gérants de Adknowledge, le réseau de publicité en ligne propriétaire de Cubics.com, diffuseur de l'annonce a déclaré que « le faux placard avait été retiré du site. Quant a l'agence hollandaise AdSeven Media qui a relayé l'annonce à Cubics.com, « elle a été bannie de leur réseau, » a ajouté Matt Brummett. Selon lui, Adknowledge utilise différentes techniques pour contrôler et empêcher les fausses annonces et il est rare que ces vérifications soient contournées. « Nous avons identifié le problème sur cet accident, et nous allons le résoudre, » a t-il ajouté.
[[page]]
Les faux sites d'antivirus prétendent habituellement que les ordinateurs des visiteurs sont infectés et les pressent de télécharger un logiciel souvent totalement inefficace. Les consommateurs piégés payent jusqu'à 70 dollars US pour acheter leur logiciel, par ailleurs difficile à désinstaller de son ordinateur, sans compter qu'ils arrivent rarement à récupérer leur argent. Les experts en sécurité estiment que ce commerce de centaines de faux programmes antivirus représente une industrie de plusieurs millions de dollars. L'an dernier, un rapport de Panda Security avait montré que près de 35 millions d'ordinateurs dans le monde pouvaient être infectés chaque mois par de faux programmes antivirus.
C'est le navigateur Chrome de Google qui a permis de détecter les domaines malveillants utilisés pour rediriger les utilisateurs et déjouer les parades. Google a en effet intégré à son navigateur une technologie de « navigation sécurisée » qui permet d'éviter aux utilisateurs d'être dirigés vers des sites Web potentiellement dangereux. « Ce qui n'est pas le cas d'Internet Explorer 8, » a déclaré Sandi Hardmeier encore en train de tester Firefox 3.6. On sait que les pirates ont trouvé des astuces pour faire entrer leurs publicités malveillantes dans les réseaux qui fournissent les innombrables placards s'affichant sur les sites Web. Et les sites de réseaux sociaux comme Facebook sont une cible de choix pour les fraudeurs en raison de leur nombre élevé d'utilisateurs et donc des victimes potentielles.
La plupart des régies ont pris des mesures pour faire en sorte que ces annonces nocives ne circulent pas. Mais les façons de contourner ces protections ne manquent pas. «Certains s'adressent directement aux propriétaires des sites pour leur offrir de la publicité, » a indiqué Sandi Hardmeier. «Les réseaux « responsables » surveillent les coups tordus, les bloquent et suspendent immédiatement les fausses campagnes. » La chercheuse qui a adressé une alerte à Cubics.com, l'agence responsable d'avoir relayé l'annonce sur Farm Town, est également sur le point de notifier Facebook, précisant qu'elle n'avait pu joindre ses responsables en urgence.
Des correctifs de sécurité trimestriels pour Solaris
Oracle insère maintenant Solaris dans son calendrier trimestriel de correctifs de sécurité. Les utilisateurs du système d'exploitation de Sun Microsystems seront ainsi informés à l'avance des mises à jour prévues. Les 'patches' étaient précédemment fournis en fonction des besoins.
Microsoft, Cisco ou encore Adobe sont eux aussi calés sur un cycle régulier de correction des failles de sécurité.
Le « Critical Patch Update » d'Oracle sera livré dans quatre jours, c'est-à-dire le 13 avril. Il comporte 47 rustines dont 7 non critiques pour sa base de données propriétaire et 16 pour des produits Sun. Ces dernières portent sur Solaris, Cluster, Convergence, Java System Access Manager, Java System Communications Express, Java System Directory Server, Management Center et le logiciel Ray server.
Microsoft a de son côté prévu de livrer 25 rustines mardi prochain et Adobe doit aussi corriger ses logiciels Acrobat et Reader. Le planning des administrateurs systèmes devraient donc être assez chargé.
Oracle a fixé au 13 juillet 2010 sa prochaine mise à jour de sécurité.
Adobe prépare encore des correctifs pour Reader et Acrobat
Adobe annoncera ce jeudi 8 avril les correctifs qu'il entend livrer la semaine prochaine pour son logiciel PDF dans le cadre de son calendrier de mise à jour de sécurité trimestriel. Ils font suite à l'appel pressant d'Adobe, qui exhortait hier les utilisateurs à renforcer les protections de Reader et d'Acrobat pour se protéger contre des attaques de type no-bug-necessary. L'éditeur a également indiqué qu'il pourrait livrer un patch corrigeant un défaut de conception du PDF, permettant aux hackers d'introduire un code exécutable sur un PC tournant sous Windows à partir d'un document trafiqué, et cela sans exploiter une faille réelle du logiciel. Il est cependant peu probable que ce correctif soit livré la semaine prochaine. Les patchs seront disponibles le mardi 13 avril, en même temps que les mises à jour de Windows et autres annoncées par Microsoft. Selon la société danoise Secunia qui réalise le suivi des bugs, officiellement, il n'existe pas de vulnérabilités de sécurité non patchées dans Adobe Reader et Acrobat. Les mises à jour prévues la semaine prochaine viennent donc résoudre des vulnérabilités confidentielles ou des bugs découverts par les propres ingénieurs en sécurité d'Adobe.
Reste le problème de conception du PDF. La semaine dernière, Didier Stevens, un chercheur belge, a montré comment une attaque menée en plusieurs étapes et utilisant la spécification « / Launch » du PDF pouvait exploiter avec succès une version patchée d'Adobe Reader. La technique de Didier Stevens qui n'a pas besoin d'exploiter une vulnérabilité sous-jacente d'Adobe Reader, est axée sur une approche d'ingénierie sociale trompant les utilisateurs pour les inciter à ouvrir un fichier PDF malveillant. Bien que Reader et Acrobat affichent un avertissement quand un exécutable est lancé depuis un fichier PDF, le chercheur a trouvé le moyen de modifier partiellement l'alerte afin de tromper la victime et de l'amener à valider l'action. Cette méthode, des pirates peuvent très bien l'exploiter sur une version à jour de Reader. La semaine dernière, Adobe a reconnu que la stratégie de Didier Stevens utilisait une fonction légitime intégrée dans Reader et Acrobat, et a déclaré qu'elle regardait ça de près, sans dire si elle envisageait de mettre à jour son logiciel en conséquence. Hier, l'éditeur a fait savoir qu'il n'excluait pas de livrer un patch. «Nous réfléchissons aux différentes options pour mieux protéger les utilisateurs, » a déclaré Wiebke Lips, la porte-parole d'Adobe.
Mardi, Steve Gottwals, chef de produit pour le groupe, a déclaré dans un blog que les utilisateurs comme les administrateurs informatiques pouvaient bloquer les attaques « à la Stevens » en désactivant l'option appliquée par défaut « Autoriser l'ouverture de pièces jointes non PDF avec des applications externes » dans les préférences des logiciels.
(...)(08/04/2010 10:06:25)
Selon Forrester, les entreprises ne minimisent pas les risques liés aux réseaux sociaux
Des menaces bien identifiées
Selon Forrester, les menaces principales varient selon les réseaux sociaux. Facebook est ainsi surtout sujet d'une part aux applications virales malveillantes développées par des éditeurs tiers, d'autre part au hameçonnage. Pour Twitter, le risque principal est le spaming, qui y est très facile : de nombreux utilisateurs suivent tous leurs suiveurs. Lorsque ces derniers sont mal intentionnés, il leur suffit de suivre de nombreux utilisateurs normaux avant d'envoyer dans leur propre fil de gazouillis des messages porteurs de liens renvoyant vers des logiciels malicieux ou des sites à contenu inapproprié. Enfin, l'usage des groupes au sein d'un réseau social plus professionnel comme LinkedIn suppose d'employer de véritables animateurs de communauté qui devront vérifier que les personnes adhérant au groupe sont bien habilitées à le faire, ce afin qu'aucune information interne ne fuite à l'extérieur via ce canal de communication très pratique.
Pour autant, Forrester « ne conseille pas d'abandonner l'usage de ces réseaux sociaux, aujourd'hui indispensables à l'entreprise, mais recommande de les utiliser judicieusement ». Comme pour tous les outils, il convient de former le personnel à leur bon usage et de veiller à en cadrer les utilisations professionnelles. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |