Nouvelles technologies, Sécurité et Libertés Numériques (et d'autres actus en tout genre)
Un chercheur du Secproject offre aux webmestres une méthode de spoofing joliment empaquetée : le point virgule en fin d’extension d’url. La méthode serait particulièrement efficace avec toutes les éditions d’Internet Information Server. Publication bégnigne ou maligne ? Plus d’infos : Le point virgule qui tue – CNIS mag.
Après la récente 0-day dans Internet Explorer et l’Opération Aurora, c’est au tour du sous-système 16 bits de Windows d’être vulnérable à une élévation locale de privilèges. Toutes les versions de Windows sont affectées, de NT 3.1 (!) à Windows 7.
http://cert.lexsi.com/weblog/index.php/2010/01/20/359-windows-de-nouveau-impacte-par-une-0-day-vdm
Vendredi, le Certa, un centre rattaché à l’Agence nationale de la sécurité des systèmes d’information, a recommandé aux entreprises françaises de privilégier un navigateur alternatif à Internet Explorer. La conséquence des remous provoqués par le piratage de sociétés américaines, dont Google, où le navigateur de Microsoft est pointé du doigt. Des recommandations entendues par les RSSI français.
In terms of the threat landscape, we are only seeing very limited number of targeted attacks against a small subset of corporations
Voila ce qu’on peut lire sur le blog technet.com de Microsoft concernant la faille de Sécurité sous Internet Explorer qui a largement été médiatisé avec l’affaire de Google en Chine. Autant dire que Microsoft minimalise la situation.
La situation est un peu inquiétante que ce qu’on essaie de nous faire croire…
Analyse technique de la faille sur http://wepawet.iseclab.org/view.php?hash=1aea206aa64ebeabb07237f1e2230d0f&type=js
Plus d’info sur Faille I.E. : l’aspect technique – CNIS mag.
Voici les projections et tendances 2010 de la Sécurité Informatique par F-Secure :
La semaine dernière Microsoft a dû retirer de ses serveurs un logiciel qui permet d’installer Windows 7 à partir d’une image ISO, après qu’un bloggeur a découvert que le logiciel était une modification dissimulée d’un logiciel libre sous licence GPL dont Microsoft hébergeait lui-même les sources.
On attendait une réaction publique et officielle, la voici sous la plume de Peter Galli, rien moins que le « Open Source Community Manager for Microsoft’s Platform Strategy Group ».
Voila, c’est le grand jour !
Microsoft pense pouvoir effacer l’échec de Windows Vista en sortant en ce 22 octobre 2009 Windows Seven.
Pour ceux qui ne l’ont pas encore essayé, voici une rapide présentation des nouvelles fonctionnalités.
Seven est-il révolutionnaire ? En tout cas, le débat est lancé, espérons qu’il sera à la hauteur des attentes du marché…
Voter d’abord, verrouiller ensuite ! Cinq jours après les élections, le BKA (Bundeskriminalamt = Office fédéral de la police criminelle) convoquera les fournisseurs d’accès Internet : ils devront alors prendre connaissance de la nouvelle directive sur le blocage de sites Internet… dans un document confidentiel : http://www.guglielmi.fr/spip.php?article212
Les enfants de Messenger : Les ados de la fin des années 1990 ont été les premiers à l’adopter, ils ont grandi avec et ont contribué à en diffuser l’usage à travers les générations. Treize ans après l’apparition du pionnier ICQ – racheté par l’américain AOL Time Warner -, dix ans jour pour jour après le lancement de Messenger, le logiciel de Microsoft de très loin le plus populaire du genre, la messagerie instantanée reste un phénomène. Elle est un des services les plus utilisés sur Internet, même si elle s’est banalisée et a pris un petit coup de vieux. http://www.lemonde.fr/technologies/article/2009/09/14/les-enfants-de-messenger_1240123_651865.html
Les députés autorisés à surfer à l’Assemblée Nationale : Le bureau de l’Assemblée nationale a autorisé mercredi les députés à accéder à Internet lorsqu’ils siègent dans l’hémicycle, sauf pendant les séances de questions orales au gouvernement. Des travaux ont été réalisés pendant l’été pour mettre en place, pour chaque député, une alimentation électrique, des ordinateurs portables et une connexion par câble au réseau informatique. http://www.lemonde.fr/technologies/article/2009/09/23/les-deputes-autorises-a-surfer-a-l-assemblee_1244306_651865.html
Google contre Goliath, le géant du Web lutte contre lui même. Avec le lancement de Dataliberation.org, il souhaite permettre à ses utilisateurs de « rapatrier » leurs données où qu’ils le souhaitent (supports physiques ou services concurrents). Un moyen pour le groupe d’asseoir son image philanthropique tout en taclant les réseaux sociaux. http://www.neteco.com/299754-retention-donnees-google-juge-partie.html
La révélation, en juin 2006, de la mise en place d’un système de surveillance, par les autorités américaines, des transferts bancaires internationaux transitant par la société SWIFT avait suscité de vives réactions de la part de la CNIL et du G29, le groupe des CNIL européennes. Le 22 novembre 2006, ce dernier a rendu un avis qui critique les conditions de mise à disposition de données européennes, stockées aux Etats-Unis dans la base SWIFT, les jugeant contraires aux principes européens de protection des données, sans parler des craintes en matière d’espionnage industriel qu’ont évoqué, sous le sceau du secret, nombre de grandes entreprises. En effet, sont ainsi communiqués le montant de la transaction, la devise, la date valeur, le nom du bénéficiaire, le client qui a demandé la transaction financière et son institution financière. http://www.cnil.fr/nc/la-cnil/actu-cnil/article/article/85/surveillance-des-transferts-bancaires-europeens-par-les-autorites-americaines-vers-une-remise-e/
Choix du navigateur dans Windows 7 : une ruse de Microsoft, selon un groupe de pression : Pour mettre fin à ses différends avec la Commission européenne, concernant les liens qui unissent Internet Explorer à Windows, Microsoft a proposé de donner aux utilisateurs européens le choix d’un autre navigateur au premier lancement d’IE. Insuffisant selon l’ECIS, un groupe de pression réunissant Adobe, IBM, Nokia, Opera, Oracle, Red Hat ou encore Sun. Ce dernier critique l’implémentation de la solution. http://www.lemagit.fr/article/microsoft-europe-firefox-antitrust-safari-ie-chrome-windows-7-navigateurs-opera-commission/4380/1/choix-navigateur-dans-windows-une-ruse-microsoft-selon-groupe-pression/
Les journalistes de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d’information, s’alarment des conséquences possibles des sauvegardes généralisées sur les datacenters virtualisés. Une envie de bien faire qui peut se muer en paralysie généralisée… Puis, CNIS met en exergue deux importants rendez-vous du monde de la sécurité. http://www.lemagit.fr/article/securite-virtualisation-sauvegarde-cloud-computing-hacking/4295/1/special-securite-sauvegarde-faux-ami-virtualisation/
8 conseils pour configurer son IPS. Assurer la protection de son réseau, grâce à une solution de prévention des intrusions, sans générer de faux positif, tout en n’omettant aucune véritable attaque ? Utopie ou objectif réaliste ? http://www.journaldunet.com/solutions/0610/061002-analyse-ips-parametrage.shtml
Les données bancaires peinent toujours à être sécurisées : http://www.lemagit.fr/article/pci-dss/4368/1/les-donnees-bancaires-peinent-toujours-etre-securisees/
Nomadisme et sécurité des accès distants : Une fois le balayage des problématiques effectué – identifiant les populations, les situations et les usages – en s’appuyant sur les macro-critères vus dans l’article précédent, il convient de comprendre l’état du marché et ses principaux drivers ainsi que les solutions technologiques disponibles, leurs périmètres d’application, leurs maturités et leurs pérennités. http://blogs.orange-business.com/securite/2009/08/nomadisme-et-securite-des-acces-distants-2eme-partie.html
Indect : la surveillance automatique des Réseaux : Le journal anglais Telegraph vient de dévoiler des informations au sujet d’un projet européen nommé « Indect ». Si l’on devait fournir une comparaison à ce que prévoit ledit projet, on parlerait alors du système américain Echelon : la détection automatique à travers divers supports en ligne d’attitudes jugées dangereuses. http://www.pcinpact.com/actu/news/53215-indect-europe-surveillance-internet-cctv.htm
La raison principale de l’existence de l’industrie de la sécurité informatique est que les produits et services informatiques ne sont pas naturellement sûrs. Si les ordinateurs étaient protégés des virus, il n’y aurait pas besoin de produits antivirus. Si le mauvais trafic réseau ne pouvait être utilisé pour attaquer les ordinateurs, personne ne s’inquiéterait d’acheter un pare-feu. Si il n’y avait plus de débordement de tampon, personne n’aurait besoin d’acheter des produits pour se protéger contre leurs effets. Si les produits informatiques que nous achetons étaient sûrs par défaut, nous n’aurions pas besoin de dépenser des milliards chaque année pour les rendre plus sûrs.
Bruce Schneier, 3 mai 2007 (sources : Do We Really Need a Security Industry?)
Le centre de réponse et d’analyse de Microsoft pour la Sécurité (MSRC, Microsoft Security Response Center) a publié une note intitulée les 10 règles immuables de Sécurité. Cette note est destinée aux particuliers mais aussi aux entreprises. Après quelques années d’expérience et d’analyse des fameux rapports de bugs générés par votre PC, ils ont dressé une liste des problèmes de ce type. Malheureusement pour les utilisateurs et les administrateurs, il ne faut pas attendre en vain qu’un correctif ou qu’une solution technique réponde aux 10 problèmes qui sont présentés ci-dessous. Microsoft, comme tout éditeur de logiciels, ne peut pas les résoudre car ils résultent du fonctionnement même des ordinateurs.
Mais ne vous avouez pas vaincu pour autant, car c’est votre bon sens qui vous permettra d’éviter ces problèmes.
Mémorisez-les bien, vous améliorerez ainsi considérablement la sécurité de vos systèmes.
Copyright © Ma vie, mon oeuvre, mon blog 2010 | Ma vie, mon oeuvre, mon blog is proudly powered by WordPress and idiandong.