Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 981 à 990.
| < Les 10 documents précédents | Les 10 documents suivants > |
(05/03/2010 15:14:04)
Cyberconflit et sécurité du cloud au menu de la conférence RSA
Durant une table ronde d'experts, un directeur de la formation technique de la NSA (National Security Agency) a indiqué qu'il n'avait pas confiance dans les services cloud. Parlant en son nom et non au titre de l'agence, Brian Snow explique que « l'infrastructure cloud délivre des services auxquels les clients accèdent de manière sécurisée, mais la nature des échanges engendre des doutes sur d'éventuelles attaques via d'autres utilisateurs dans le cloud ». Dans une présentation, Art Coviello, président de RSA, la division de sécurité d'EMC, estime que les clients ont besoin de savoir que le cloud est sûr. Le responsable pense que son adoption est inéluctable au regard des bénéfices financiers importants attendus, mais pas sans un niveau de sécurité élevé. « Le gros problème est la confiance », résume-t-il, en soulignant, comme exemple, la réponse apportée conjointement par Intel, VMware et EMC pour mesurer les niveaux de sécurité des prestataires d'offres cloud. Une plateforme pour lancer des botnets En parallèle, le sommet de l'alliance sur la sécurité du cloud (CSA), qui s'est tenu, au sein de la conférence RSA, a annoncé la réalisation d'un rapport sur les questions de sécurité et notamment de la documentation sur les risques d'utiliser les infrastructures cloud comme plateforme pour lancer des botnets. Le même consortium, regroupant utilisateurs et fournisseurs, a pointé les différentes failles des services proposés, ainsi certaines API ne sont pas assez sécurisées et laisse la porte ouverte à une attaque via le cloud. La solution pour éviter cela, est l'implémentation combinée d'une authentification forte, d'un contrôle de l'accès et de transmissions cryptées. [[page]] L'autre temps fort de cette conférence a été l'intervention de la Secrétaire d'Etat américaine à la sécurité intérieure en tant que recruteur, car le gouvernement ne peut pas gérer seul les différentes menaces. Elle a donc confirmé la recherche de spécialistes de la cybersécurité y compris issus d'entreprises privées. Janet Napolitano a aussi lancé l'idée d'un concours sur la création d'un programme national de sensibilisation à la cybersécurité auprès du grand public, en leur montrant comment les gens peuvent contribuer à l'amélioration de la sécurité. Ce programme devrait être diffusé via les réseaux sociaux pour renforcer son efficacité. Le gouvernement américain ne peut pas s'occuper tout seul de la sécurité, car la majorité des infrastructures réseaux sont des propriétés privées. Elle a donc exhorté les différents acteurs « à redoubler d'efforts pour augmenter la sécurité, la fiabilité et la qualité de leurs produits qui entrent dans cet écosystème virtuel ». Janet Napolitano a également appelé à une automatisation des règles de sécurité et indiqué que le gouvernement travaille sur système de prévention d'intrusion (IPS) pour protéger les réseaux des agences fédérales. Une évolution de la plateforme de détection d'intrusion, Einstein 2 vers Einstein 3 est en cours. Cet outil a déjà été déployé au sein de 9 agences fédérales, mais aussi sur les réseaux des opérateurs AT&T, Qwest et Sprint. Verizon devrait prochainement rejoindre la liste. Einstein 3 aura pour mission de détecter automatiquement les activités malveillantes et de désactiver les tentatives d'intrusions. (...)
(02/03/2010 12:14:05)Le Pentagone autorise l'accès aux réseaux sociaux
Le Ministère de la Défense américaine vient de mettre fin à l'interdiction totale d'utiliser les réseaux sociaux depuis tous les ordinateurs de ses secteurs. « Nous encourageons le personnel engagé ainsi que nos employés à utiliser ces nouveaux médias, pour communiquer avec leurs amis et leur famille. Nous leur demandons tout de même de le faire prudemment » explique le communiqué officiel du Pentagone. Cette politique prévoit par contre de limiter les accès Internet en fonction des besoins en bande passante, et lors de certaines opérations, pour des raisons de sécurité. L'administration maintiendra également l'interdiction des sites pornographiques et des de jeux d'argent, elle examinera enfin l'utilisation des réseaux sociaux afin de voir si elle n'ouvre pas la porte à certains virus et autres codes malicieux vers le réseau militaire. Une première pour l'armée américaine En 2007, le Pentagone avait interdit l'accès à certains sites comme Youtube et Myspace depuis ses réseaux militaires, cela ne relevait pourtant pas d'une politique officielle. « C'est la première décision officielle du Ministère en matière de nouveau média » indique le communiqué. « Auparavant, les réseaux du Ministère et ceux du personnel engagé étaient régie par les politiques internes de chaque service, certains interdisant même l'accès à pratiquement tous les sites Internet. Un exemple, celui de la Marines qui, l'an dernier avait banni l'usage de Facebook, Myspace et Twitter, depuis tous leurs ordinateurs. Elle devra désormais s'accorder avec la politique officielle et en autoriser l'accès. Cette décision vient mettre un terme aux critiques reçues par le Pentagone, souvent accusé de tronquer la liberté de son personnel. Elle s'accorde aussi avec les méthodes de promotions du Département de la Défense qui utilise depuis longtemps déjà Facebook, Twitter, Flickr et autres pages Youtube pour communiquer avec le publique. (...)
(01/03/2010 15:16:30)Microsoft fait fermer Cryptome.org après publication d'un document confidentiel
Le Global Compliance Handbook, un document de 22 pages, contient un certain nombre de détails sur les informations recueillies par Microsoft par l'intermédiaire de ses logiciels et services Windows Live, Hotmail, Messenger, MSN Groups, et même la plate-forme de jeux Xbox Live. Il dévoile notamment quelle information Microsoft stocke, pendant combien de temps elle est conservée, et comment elle peut être consultée par la police et les services de sécurité en conformité avec les exigences juridiques américaines. Après avoir découvert le document sur le site, Microsoft aurait demandé son retrait, en s'appuyant sur le US Digital Millennium Copyright Act (DMCA), mais sa requête ayant été rejetée par John Young, le rédacteur en chef et fondateur de Cryptome, Microsoft a persuadé l'hébergeur Network Solutions de retirer le site, lequel a été mis hors ligne le 25 Février. Mais ce n'est pas certain que Microsoft ait été bien avisé de s'en prendre si lourdement à un site qui s'est imposé dans les cercles de défense des droits civiques comme un rempart important contre le secret gouvernemental. D'ailleurs, Microsoft n'aurait pas réussi à rendre ce document aussi public, s'il avait essayé. En effet, le guide est désormais disponible en téléchargement à partir de diverses sources Internet, y compris le site Wikileaks spécialisé dans les dénonciations de certains abus. Le document sera sans doute aussi transféré à des milliers de personnes, parfois sans comprendre la signification - ou le manque de signification - de ce qu'il contient. Un éclairage intéressant sur les pratiques des compagnies IT Le guide, qui comporte en lui-même peu de révélations techniques, montre comment une société telle que Microsoft effectue une surveillance de l'information à partir des traces laissées par les visiteurs sur les sites Internet visités. Ainsi, il apparaît que tout texte ou toutes images téléchargées vers un service Microsoft sont conservés pendant 90 jours, ainsi que la date et l'heure du téléchargement et l'adresse IP de la connexion. Il faut noter aussi que toutes les données globales de compte client Hotmail - y compris par conséquent la traces des emails - sont conservés aux États-Unis, ce qui les rend accessibles par les autorités américaines en vertu des lois en vigueur. Les non-résidents américains n'en ont peut être pas conscience, mais les éléments ne sont détruits qu'après 60 jours d'inactivité du compte. Le document laisse entendre que Microsoft ne stocke pas les conversations entre les utilisateurs de Windows Live Messenger, son service de messagerie instantanée. Le service le plus suivi semble être celui de la Xbox Live, où les noms, adresses et données relatives aux cartes de crédit permettent de tracer les utilisateurs en ligne. Ce qui n'est guère surprenant, étant donné que c'est un service pour lequel les utilisateurs doivent payer et donc la surveillance n'est pas tout à fait effectuée au profit de Big Brother. (...)
(26/02/2010 16:30:19)Baromètre X-Force d'IBM, moins de failles de sécurité, mais plus de sophistication
L'étude X-Force, du département de recherche en sécurité d'IBM, est toujours riche d'enseignements sur l'écosystème de la sécurité sur Internet. Le millésime 2009 montre que le nombre de nouvelles failles recensées (6 601) a été en baisse de 11% par rapport à 2008. Si cette nouvelle peut réjouir, les équipes d'IBM démontrent que les liens malveillants intégrés dans des documents bureautiques ont augmenté de 50%. L'étude constate que sur les cinq failles les plus importantes, trois étaient dédiées aux formats PDF. Les deux dernières étaient liées à des applications Flash ou Active X, qui permettent aux utilisateurs de lire différents documents. Les liens malveillants sur le Web ont explosé sur l'année 2009, +345% par rapport à 2008. Ce mouvement démontre le succès rencontré par les pirates dans l'hébergement de pages web infectées et l'utilisation des failles des navigateurs. IBM souligne que quatre sociétés cristallisent l'assaut des hackers, Microsoft, Adobe, Mozilla and Apple. Mais pour Tom Cross, responsable de l'étude X-Force, « ces sociétés travaillent beaucoup pour apporter des solutions aux différentes attaques » et d'ajouter « néanmoins les attaques sont devenus plus perfectionnées en utilisant des codes malveillants sur les sites Web ». Les créateurs de ces liens utilisent des méthodes pour les cacher au sein des pages web ou des applications. Une montée du phishing financier Dans son baromètre, Big Blue insiste particulièrement sur la montée en puissance du phishing. Cette méthode consiste à mettre en place une page web similaire à l'originale, mais dans le but de récolter les données notamment bancaires. Les attaques de type « hameçonnage » ont repris de la vigueur à la fin de l'année 2009 et les pays d'origine de ces charges ont changé. En 2008, l'Espagne, l'Italie et la Corée du Sud arrivaient en tête, alors qu'en 2009, le Brésil, les Etats-Unis et la Russie étaient le trio de tête. L'étude confirme également que les institutions financières sont les principales victimes de ce type d'attaques. 61% des messages comportant des techniques de phishing ont été envoyés en travestissant l'identité d'établissements bancaires et, dans 20% des cas, d'organisations gouvernementales. (...)
(25/02/2010 18:00:29)Cisco investit dans une start-up de sécurité appliquée à la virtualisation
La virtualisation, qui consiste à gérer plusieurs systèmes d'exploitation simultanément sur une même machine, est un procédé en pleine expansion dans le domaine des entreprises et les compétences en la matière sont recherchées. Ainsi, la société HyTrust, spécialisée dans la création des équipements et des logiciels dédiés à la virtualisation, attire de plus en plus les regards. Cumulant un capital de 5,5 millions de dollars après la sortie de ses premiers produits, en avril dernier, la start-up américaine a été honorée du prix « Best of Show » au salon de la virtualisation VMworld 2009. Elle y a également été inscrite au top 10 des start-up « à surveiller de près » pour 2010. L'apport de 10,5 millions de dollars de la part de d'investisseurs tel que Cisco (alliée ici à d'autres firmes informatiques) arrive comme une preuve de confiance supplémentaire pour la société. Parier sur l'avenir Si HyTrust se démarque, c'est parce qu'elle privilégie la sécurité entre utilisateurs de machine virtuelles. Les analystes perçoivent en effet la technologie HyTrust comme la solution au nombreux problèmes d'authentification des plateformes communes Vmware. Dans les faits, la virtualisation se symbolise par une plateforme commune entre tous les systèmes d'exploitation (OS), il est donc essentiel qu'un administrateur ait autorité sur les différentes options de contrôle de la machine virtuelle, afin de ne pas risquer de conflits entre les administrateurs de chaque OS. La jeune pousse a enfin indiqué que les fonds récoltés serviront au développement et à la branche marketing de la société. Cisco, NetApp et VMware travailleraient actuellement sur un projet permettant d'aller encore plus loin dans la virtualisation en isolant, non plus des systèmes d'exploitations, mais plusieurs applications partageant les mêmes ressources physiques. (...)
(25/02/2010 16:40:40)Une proposition de loi pour mieux protéger les données personnelles
Une proposition de loi « visant à mieux garantir le droit à la vie privée à l'heure du numérique » vient d'être enregistrée par la commission du Sénat des lois constitutionnelles, de législation, du suffrage universel, du règlement et d'administration générale, où siège Alex Türk, le président de la CNIL. Cette proposition n'est qu'un avant-projet dont aucune date d'application ne peut être fixée pour l'heure. Il n'est même pas certain qu'elle aboutisse, sans oublier les multiples amendements qui vont survenir au cours du travail parlementaire. Cependant, ce qu'elle apporte pourrait modifier sensiblement la loi « Informatique et Libertés ». La première mesure prévue complète le Code de l'Education en imposant aux écoles un devoir de sensibilisation des enfants et adolescents à leurs droits et aux bonnes pratiques en matière de préservation de leurs données personnelles et de leur vie privée. Vérifier la présence de fichiers illégaux La proposition de loi prévoit également une obligation pour les entreprises et administrations de disposer d'un Correspondant Informatique et Libertés dès lors qu'elle met en oeuvre un traitement de données sensibles soumis à autorisation de la CNIL (et non pas seulement à déclaration). Elle limite les finalités des fichiers de police et de sécurité nationale. La CNIL verrait ses pouvoirs renforcés, notamment avec l'apparition d'une procédure très proche de la perquisition dans sa forme pour vérifier la présence de fichiers illégaux dans des locaux professionnels, avec création un délit d'entrave à cette « perquisition ». Elle pourrait être amenée à apporter un témoignage ou une expertise au cours de procédures judiciaires. Les acteurs du marketing direct sont visés par une disposition pas très contraignante pour les acteurs honnêtes : l'obligation de prévenir tout inscrit dans leurs bases en cas de cession à des tiers (les fameux « partenaires ») en laissant un droit d'opposition gratuite pour les personnes concernées. Enfin, les sanctions frappant les contrevenants à la loi « Informatique et Libertés » seraient doublées. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |