|
|
 |
|
 |
 |
 |
 |
 |
 |
 |
|
Alertes récentes
|
|
|
jaime mieux...
|
|
|
ground418 hq :: Nouvelles
|
|
Une commission publique américaine pour la Cybersécurité09/12/2008, 3:21 pm
Dans un rapport publié lundi dernier par le CSIC (Center for Strategic and International Studies), un groupe de profesionnels en technologie de l'information presse la prochaine administration américaine à mettre sur pied une commission publique du Cyberespace. Selon eux, le manque de directives et d'un organisme régisseur pour la sécurité de l'information provoque une dilution des investissements en TI. D'après les dires du CSIC, les attaques électroniques devraient être prises aussi sérieusement que la menace terroriste ou la prolifération des armes nucléaires. La situation actuelle est d'autant plus critique, puisque les investissements provoqués par le plan de relance de l'économie seront inutiles si l'information, fruit de ces investissements, peut facilement être piratée et téléchargée par des entreprises extérieures. [ Consulter le rapport du CSIC ]
msg id:
128
|
Des cartes de crédit avec générateur de mots de passe05/12/2008, 4:48 pm
Une nouvelle carte de crédit fera une entrée remarquée chez MBNA puisqu'elle utilisera un procédé plutôt innovateur. La carte aura un clavier numérique et un écran LCD et vous demandera d'entrer un code généré lors de la transaction. Elle sera de même grosseur que les cartes régulières et aura une pile intégrée pouvant durer trois ans. L'objectif est de s'assurer que le détenteur de la carte a bien celle-ci entre les mains lors d'une vente. Selon VISA, ce type de carte permettera de réduire grandement le nombre de fraudes par cartes de crédit présentement très élevé sur l'Internet. Selon l'analyste en sécurité de l'information Bruce Schneier, la question que les entreprises de crédit devront se poser est si le coût de cette nouvelle technologie contre-balancera les pertes engendrées par la fraude. [ L'article sur dailymail.co.uk (anglais) | Commentaire de Bruce Schneier ]
msg id:
127
|
Apple corrige une douzaine de bugs sur le iPhone23/11/2008, 10:55 pm
Jeudi dernier, Apple a produit une mise à jour de plusieurs composants du iPhone tel que le OfficeViewer et le navigateur Safari, portant la plus récente version du firmware à 2.2. Le problème le plus important concerne Safari et son traitement des images qui permet l'exécution de programmes directement sur le téléphone à partir d'un site Web. De plus, 4 des failles critiques concernent la façon dont le OfficeViewer lit les fichiers Excel. On peut lire aussi dans le document produit par Apple, que certaines fonctions protégeant le téléphone sur écran de veille étaient défectueuses. [ Lire le document de Apple ]
msg id:
126
|
Microsoft annonce la suite de OneCare20/11/2008, 12:14 am
Dans la deuxième moitiée de 2009, Microsoft remplacera OneCare pour un service gratuit nommé Morro. Selon Microsoft, ce service sera plus adéquat pour les PCs ayant une connexion réduite et une plus faible puissance. Morro sera aussi disponible pour l'ensemble des récents systèmes d'exploitation offerts, tel que XP, Vista et Windows 7. Aucune raison n'a été mentionné par Microsoft à propos de l'arrêt de OneCare. Certaines mauvaises langues affirment que Microsoft tente de mettre la main sur un marché émergeant, celui de la sécurité. Enfin, nous percevons toujours positivement l'augmentation et la gratuité des ressources en sécurité et nous vous invitons à consulter l'article de zdnet.com à ce sujet. [ Lire l'article ]
msg id:
125
|
Des standard pour éviter les Malwares11/11/2008, 3:06 pm
Un regroupement de firmes en sécurité de l'information a publié dernièrement un document aidant les testeurs de logiciels à éviter les Malwares. Le groupe "Anti-Malware Testing Standards Organization" a été fondé en 2006 afin d'améliorer les procédures de tests qui causent les failles de sécurité. En se basant sur ce guide, nous pouvons plus facilement déterminer le niveau de sécurité d'une application. Le chercheur Roel Schouwenberg et créateur d'antivirus nous explique dans ce rapport : "The documents are expressly designed to help new and current testers to create better tests, ultimately, better tests will benefit everyone by providing more accurate information to industry professionals and consumers alike." [ Consulter les principes (anglais) ]
msg id:
124
|
Article sur le "spear pishing".04/11/2008, 2:37 pm
L'ISIQ a publié dernièrement un article concernant le "spear phishing", soit un type d'hammeçonnage beaucoup plus ciblé. Cette nouvelle variation d'attaque par phising est beaucoup plus difficile à détecter par les robots et antivirus traditionnels. "Étant donné les limitations technologiques et l’insouciance des victimes, une seule solution demeure : l’éducation. Afin de contrer ce type d’attaque, la sensibilisation auprès de la population et la formation des employés, surtout ceux détenant des postes clés au sein de votre entreprise, est essentielle. " [ Lire article (pdf) ]
msg id:
123
|
Google change les règles de JotSpot après plusieurs plaintes02/11/2008, 8:33 pm
Les configurations concernant la vie privée sur JotSpot ont été changées vendredi dernier suite à plusieurs plaintes des utilisateurs. Les noms et courriels des membres de chaques groupes étaient disponibles au grand public sans le consentement de l'utilisateur. L'ensemble des wikis disponibles publiquement mettait donc à risque des informations critiques concernant les membres. Google s'affaire maintenant à nettoyer la cache de son moteur de recherche afin de rendre l'information sensible totalement privée. [ Lire sur cnet ]
msg id:
122
|
Conférence sur l'innovation Web29/10/2008, 11:45 am
Vincent A. Ménard donnera une conférence sur l'innovation dans les API Web le 6 novembre prochain à l'Université du Québec à Montréal. Cette conférence gratuite organisée par l'AGEEI portera entre autre sur les API multi-sites, le mashup et les sytèmes viraux. C'est donc un rendez-vous à ne pas manquer à 18h. au pavillon Sherbrooke (SH-2620) de l'UQÀM. " [..] la forte croissance des logiciels Web ainsi que les récentes évolutions dans les API Web entraînent d’importantes révisions des technologies utilisées par l’industrie. Pourrait-on envisager un repositionnement des programmes académiques en réponse à l’extrême rapidité d’évolution du marché du travail ?" [ Lire le résumé ]
msg id:
121
|
Documentation Oracle afin d'éviter l'injection SQL20/10/2008, 7:52 pm
Voici un document intéressant concernant les attaques par injection SQL. Publié sur le site de l'entreprise Oracle, cet article présente une série de règles à suivre afin d'éviter les pertes ou altérations de données sur votre base de données. Couvrant l'utilisation de modèles SQL, de requêtes statiques en plus conseils judicieux reliés à la nature des champs utilisés dans vos tables. Enfin, une série de sénario sont présentés et rendent ce document très utile lors d'un processus de sécurisation logiciel. Il s'agit d'une excellente initiative de la part d'Oracle que nos saluons. [ Consulter le document (anglais) ]
msg id:
120
|
Liste nationnal de numéros de télécommunication exclus30/09/2008, 10:36 am
À partir d'aujourd'hui, le CRTC lance une liste nationnal de numéros exclus. L'utilisation par les agences de marketing des numéros présents sur cette liste sera maintenant interdite. Il s'agit d'une excellente mesure qui améliorera la protection du consommateur. Chaque citoyen peut maintenant ajouter 3 numéros téléphonique à cette liste et enfin éviter les appels inutiles de vente par téléphone. Il ne serait pas surprennant cependant d'observer un changement du modèle d'affaire utilisé en télémarketing afin d'éviter ou de contourner cette nouvelle liste. [ Ajouter mon numéro ]
msg id:
119
|
Conférence sur l'innovation : Innovation Montréal 200819/09/2008, 3:19 pm
Une conférence intéressante sur l'innovation et les TI se tiendra le 6 et 7 octobre prochain à Montréal. Parmis les conférienciers, nous retrouvons Louis Carbonneau de Microsoft (Redmond, Washington), Joel Moskowitz de Ceradyne (Californie) et Charles Sirois de Télésystème (Montréal). Cette conférence organisée par MontrealInternational est une excellente façon de rafiner son modèles de développement et d'exploitation de l'innovation. Le coût est d'environ 400$ et les inscriptions sont ouvertes jusqu'au 3 octobre 2008. [ Consulter le site innovationMontreal ]
msg id:
118
|
Microsoft publiera des astuces et méthodes en Sécurité Informatique17/09/2008, 8:14 pm
Le géant logiciel Microsoft publiera prochainement des astuces et méthodes afin d'aider l'industrie à produire des logiciels plus sécuritaire. C'est ce que nous apprenons dans un interview avec Steve Lipner, le directeur sénior des aspects de sécurité. Microsoft autorisera les entreprise à consulter leur SDL (Secure Développement Lifecycle). Selon Microsoft, l'éducation de la sécurité est primordiale dans la sécuritation future des plateformes Windows. Dans le même ordre d'idées, je vous invite à lire la plus récente publication d'Heptacube, décrivant les méthodes utilisées chez Heptacube pour assurer la qualité et la sécurité des applications produites par l'entreprise. [ Lire article Microsoft | Lire article Heptacube ]
msg id:
117
|
De l'argent pour la recherche en sécurité de l'information14/08/2008, 10:40 am
Selon un article de vnunet.com, un recherchiste en sécurité de l'information aurait trouvé plusieurs failles de sécurité dans les logiciels qu'utilisent les téléphones cellulaires Nokia. Il demande à Nokia et à Sun la somme de 20K euro afin de leur divulger la preuve de concept de sa découverte. Selon lui, ces failles pourrait permettre l'envois de SMS de masse ainsi que l'utilisation de services coûteux simplement en connaissant le numéro du sans fil vulnérable. Un refus de payer amènerait à la publication du résultat de ses recherches. Il est fréquent d'obtenir une compensation monétaire pour des trouvailles en sécurité logiciel, mais la divulgation publique de la négociation entre les parties est selon nous à éviter. La raison est simple, dans la majorité des cas, la compensation monétaire a souvent pour but d'éviter les dicussions de ces problèmes de sécurité sur la place publique et ainsi préserver la réputation de l'entreprise payant la compensation. [ Lire l'article ]
msg id:
116
|
La Compression VoIP décodée facilement20/06/2008, 2:06 pm
Un article de newscientist.com nous expose les travaux effectués par une équipe de John Hopkins University afin d'écouter une conversation VoIP utilisant la technique à compression par bitrate variable. Cette technique permet de réduire l'utilisation de la bande passant sans trop influencer sur la qualité du son. La technique d'écoute effectue des comparaisons de longeur sur les paquets envoyés par l'algorithme sans même les décoder. Elle possède une précision de 50% sur les conversations utilisées en exemple mais permet plus de 90% de précision sur les mots plus long. Le fondateur de Zfone VoIP security nous explique ensuite que la sécurité pourrait être grandement améliorée en ajoutant des paquets de longeur égale, mais les avantages de l'algorithme de compression seraient alors annulés. [ Article sur newscientist.com ]
msg id:
115
|
Rencontre sur le marché de la sécurité de l'information13/06/2008, 11:55 am
Voici une courte rencontre gratuite qui se tiendra le 18 juin au Centre de Recherche en Informatique de Montréal (CRIM) "L'ISIQ vous invite à une rencontre avec les représentants du MDEIE et des Délégations du Québec pour les régions de New-York / Mid-Atlantic et de Los Angeles / Côte Ouest sur le marché de la sécurité de l'information et le soutien offert aux entreprises québécoises." Mme Susan Pak sera présente afin discuter d'une approche stratégique à l'industrie américaine en sécurité de l'information. [ En lire plus ]
msg id:
114
|
Microsoft poursuit les pirates logiciel10/06/2008, 10:15 am
Microsoft a déposé hier 21 poursuites à la court fédérale américaine. La majorité d'entre eux pour des installations multiples du système d'exploitation Windows. Des revendeurs d'ordinateurs usagés de 14 états ont été ciblés par les poursuites. Selon l'article de seattlepi.com, le pourcentage de logiciels piratés aux États-Unis est maintenant en dessous de 20% mais représentent toujours des pertes monétaires de 8 milliards de dollars pour l'insdustrie. Par ces actions, Microsoft tente de s'attaquer aux pratiques illégales de "Hard-disk loading", une technique qui permet aux vendeurs de simplement installer les logiciels sur le PC sans fournir le disque d'installation ou les numéro de série au client. [ Lire l'article (anglais) ]
msg id:
113
|
Statistiques sur les domaines les plus dangereux06/06/2008, 12:56 pm
Selon McAfee, les extensions de domaines les plus dangereux de 2008 sont ceux de Hong Kong (.hk), la Chine (.cn) et Tokelau (.tk). En effet, ces extensions affichent plus souvent du contenu dangereux pour l'utilisateur Web. Les TLD .ro (roumanie) semblent aussi afficher un grand poucentage de code "malicieux", soit 1.1 pourcent de l'ensemble des domaines point ro. En 2008, les extensions de Tokelau ont prit la pôle position en détrônant ceux Hong Kong au palmarès des sites Web les plus dangereux. Enfin, on nous apprends aussi dans l'article de eFlux, que les extensions les plus sures sont présentement parmis les domaines de Slovanie (.si), de Norège (.no), du Japon (.jp), governmental (.gov) et de Finlande (.fi). [ Lire l'article ]
msg id:
112
|
Les travailleurs des PME plus à risque sur le net04/06/2008, 12:14 pm
Un article de vnunet.com décrit comment les travailleurs de bureaux dans les PME seraient plus à risque des failles sécurité sur le Net. Les petites entreprises recevraient plus d'attaques par hameçonnage et environ 80% des employés de PME ont dit recevoir régulièrement du spam par courriel. L'étude commanditée par Trend Micro se conclue ainsi: "The researchers concluded that employees at smaller firms are more likely to check personal email, launch downloaded executable files and make online purchases. Trend Micro credits much of this to a shortfall in support and education at smaller firms, which are 50 per cent less likely to have on-site IT support staff should a security threat arise.". [ Lire l'article (anglais) ]
msg id:
111
|
Amendement "Net Neutrality" proposé au parlement à Ottawa30/05/2008, 2:05 pm
Une proposition du NPD à Ottawa fait miroiter des développements dans le dossier de la Net Neutralité. En effet, cette proposition empêcherait les founisseurs de service internet (ISP) de trop brimer les consommateurs en applicant des restrictions, tel une réduction de bande passante selon le services (P2P, web) ou selon le contenu. Tel qu'annoncé dans theinquirer.net: "The wording of the amendment says an ISP could be in hot water if it favours, degrades or prioritises any content, application or service transmitted over a broadband network based on its source, ownership or destination." Nous croyons effectivement que la Qualité de Service (QoS) imposée par les fournisseurs internet devrait avoir des limites et devrait être encadrée par une législation acceptable. Le parti Libéral se dit favorable à cette proposition. [ Lire l'article (anglais) | Lire l'article sur CBC (anglais) ]
msg id:
110
|
Heptacube lance VIARoot - Le réseau de sécurité logiciel29/05/2008, 4:33 pm
Comme présenté sur le blog de l'entreprise, VIAroot sera le site de revue technologique et de recherche en sécurité de l’information de Heptacube. Ainsi, les visiteurs anglo pourront obtenir un site qui se très comparable à ground418.org. "En plus des travaux de l’entreprise, VIARoot présentera des revues de code source provenant de sources diverses. Parce que la sécurité de l’information est une priorité dans notre entreprise, nous nous efforcerons de publier quotidiennement les nouvelles qui captent notre attention". En d'autres termes, après 8 ans de développements en sécurité informatique en français, voici un autre site Web sur le sujet, mais en anglais cette fois. [ Visiter VIARoot ]
msg id:
109
|
Accès physique à une machine Windows Vista26/05/2008, 11:06 am
Voici un petit vidéo de Offensive Security exposant comment il est facile d'obtenir un accès à une machine Windows Vista. Il est bien évident que l'utilisation d'un système d'exploitation alternatif permet souvent l'installation de trojan et ne laisse aucune chance à l'ordinateur attaqué localement (accès physique). C'est pourquoi il est important d'utiliser des partitions encryptées puisque même le système MacOS X de Apple ainsi que tout système linux serait vulnérable à ce genre de technique. Sous Mac, le FileVault (voir System Preference > Security) permet d'améliorer grandement la sécurité des fichiers installés sous votre compte en encryptant le contenu du dossier de votre utilisateur. [ Voir la vidéo ]
msg id:
108
|
La SI, un enjeu sans frontières22/05/2008, 11:39 am
Voici la dernière publication de l'ISIQ (Institut de la Sécurité de l'Information du Québec), discutant de sujet tel que la journée Safer Day Internet, le vol d'identité et même un retour sur un article présenté dans "Communications of the ACM" : La responsabilité de chacun à l'érgard de la sécurité sur Internet. Ce dernier article mérite un peu plus d'attention; il analyse en profondeur le comportement humain dans la gestion de risque en sécurité de l'information. On nous explique que "l’approche la plus efficace (dans la gestion des incidents) est d’aider les internautes à maîtriser les tâches d’autoprotection les plus difficiles. [...] Le niveau d’implication personnelle des individus joue donc un rôle très important dans leur adoption de comportements sécuritaires. Plus l’individu prend en charge sa sécurité sur Internet et l’assume comme une responsabilité personnelle, plus il aura tendance à adopter des comportements sécuritaires." [ Lire le Bulletin ISIQ | Lire la publication ACM (anglais) ]
msg id:
107
|
Code source JS pour les réseaux sociaux20/05/2008, 11:08 am
Voici qu'une nouvelle publication est disponible sur le wiki de l'entreprise de développement Web Heptacube. Un source Javascript afin de faciliter l'affichage de vos sites sur les réseaux sociaux Delicious, Digg et Facebook. Ce source est maintenant utilisé sur notre site et présent en bas à la droite de cette page. Il existe probablement des centaines d'autres petites librairies que vous pouvez utiliser pour effectuer la sauvegarde rapide, mais celle-ci est maison. Enjoy@ [ Lire le source (anglais) ]
msg id:
106
|
Problème avec la fonction aléatoire de SSL sous Debian linux20/05/2008, 10:48 am
M. Luciano Bello a découvert un problème dans le paquet OpenSSL livré avec Debian linux. En effet, quelques lignes ont été commentées dans un fichier fesant la génération des nombres aléatoires pour les clées d'encryption SSL. Ce retrait a réduit considérablement la sécurité de l'algorithme en limitant à 32 768 les possibilités du nombre aléatoire utilisé dans la génération des clées et a été effectué parce des outils tel que Valgrind et Purify entraient en conflit avec OpenSLL. Bravo! "Are you sure it is random? That's the problem with randomness, you can never be sure" [ Lire les détails (anglais) | Voir la BD ]
msg id:
105
|
Les universités Britaniques ignorent la formation en sécurité13/05/2008, 2:55 pm
Selon une étude discutée sur vnunet, 20 poucents des étudiants en informatique Britaniques reçoivent moins de 5 heures de formation en sécurité de l'information. M. Bill Whyte, un consultant indépendant en sécurité, nous annonce que la situation est critique, puisque ce manque de connaissances des étudiants dans ce domaine produira un hausse des pertes monétaires en entreprise. L'étude commandée par l'organisation gouvernementale ( Cyber Security Knowledge Transfer Network, CSKTN ) a scrutée 75 universités de la Grande Bretagne pour conclure que le temps passé à l'étude en sécurité logicielle est insuffisant. [ Lire l'article (anglais) ]
msg id:
104
|
Google lance un groupe de sécurité pour l'Open Source07/05/2008, 10:19 am
Voilà que Google annonce le lancement d'un groupe de sécurité pour l'open source, ayant pour but de centraliser l'information disponible sur les plus gros logiciels web. La question qui se pose est: avons-nous besoin d'une autre ressources en sécurité ? Certains pensent que cela causera des conflits avec le CERT américain (Computer Security Readiness Team). Enfin, comme annoncé sur leur Blog, Google tente de corriger certains problèmes de l'Open Source, qui selon nous, font partie intégrale d'un cycle de développement logiciel normal. Google vient jouer sur un terrain très spécifique et selon nous, le but recherché n'entre pas dans le portrait d'une entreprise généraliste comme Google.
msg id:
103
|
Un peu plus sur le Cyber-Espionnage02/05/2008, 12:05 pm
Un article du BusinessWeek nous rapporte quelques incidents impliquant la Chine et les États-Unis. Des Chinois auraient orchestrés en 2006 plusieurs tentatives de cyber-espionnage contre les États-Unis. Le président aurait même silencieusement signé un bill de 10 millions de dollars pour une opération nommée "Byzantine Foothold" visant à identifier et tracer les responsables des importantes intrusions dans le réseau gouvernemental américain. Plusieurs experts en sécurité prétendent que l'internet est devenu beaucoup trop gros et que ces crimes devront être jugés comme normals. Les créateurs de l'époque du réseau global (le DARPA) commencent même à se demander s'ils n'ont créé un Monstre. À lire dans BusinessWeek (anglais).
msg id:
102
|
Les services secrets allemands pointés01/05/2008, 12:35 pm
Selon un média local, les services secrets allemands utilisent des techniques illégales pour espionner les autres pays. Spiegel.de vient de publier un article à propos des récentes techniques utilisées dans la surveillance du gouvernement Afghan. Le ministère de la défense utiliserait un Cheval de Troie (Trojan) et des techniques de surveillance électronique afin d'écouter des conversations entre gouvernements étrangers et même entre citoyens allemands. Le scandal provient du fait que la constitution allemande protège la vie privée de ses citoyens, mais l'intelligence allemande semble fait fit de cette clause. Le responsable du département allemand, Der Spiegel, nous annonce que les conversations enregistrées n'entrent pas dans la protection offerte par la constitution, tel que rapporté sur SecurityFocus: "The German Constitution protects the secrecy of telecommunications, but BND's legal counsel concluded that, because the messages were stored communications, they did not fall under the constitutional protection." [ Lire l'article sur SecurityFocus | Spiegel Online ]
msg id:
101
|
Le beta 2 de Opera se sécurise 25/04/2008, 6:41 pm
Des améliorations importantes sont maintenant disponibles dans le navigateur Opera. En effet, le logiciel vient maintenant avec une protection importante contre le pishing. Le navigateur web fait maintenant une plus grande distinction entre les fichiers locaux et distants. L'utilisation d'éléments locaux peuvent faire des appels à des éléments distants, mais l'inverse est maintenant impossible grâce aux modifications dans la version 9.5 beta 2. C'est ce que le directeur de TechRepublic nous annonce aujourd'hui sur ZDNet. [ Lire l'article (anglais) ]
msg id:
100
|
Une empreinte digital ne serait pas de nature privée21/04/2008, 11:49 am
Le secrétaire américain à la défense Michael Chertoff (Homeland Security), était en visite au Canada dans le but de vendre la super base de données d'empreinte digitale "Server in the Sky" regroupant les empreintes de citoyens provenants des États-Unis, du Canada, de la Grande Bretagne et de l'Australie. En conférence de presse, M. Chertoff aurait fait une grosse bourde en annonçant que l'empreinte digitale n'est pas de nature privée à l'individu puisqu'elle est présente sur l'ensemble des objets touchés par cet individu. En effet, c'est ce qu'il a répondu à un journaliste qui l'a interrogé sur les dangers à la vie privée d'une telle base de données. Le Department of Homeland Security américain n'est pas en accord avec les propos de M. Chertoff et considère les empreintes digitales comme un identifiant biométrique important. Enfin, voici les propos de M. Chertoff (anglais) : "Well, first of all, a fingerprint is hardly personal data because you leave it on glasses and silverware and articles all over the world, they’re like footprints. They’re not particularly private." Lire l'article (anglais)
msg id:
99
|
Le captcha de Microsoft Live cracké en 6 secondes15/04/2008, 9:43 am
L'entreprise Websense a étudié le cas de MSN Live dernièrement afin d'élucider plusieurs attaques sur ce logiciel de messagerie. Un bot incorporé à Internet Explorer serait capable de briser la sécurité et l'utilisation des captcha de microsoft en 6 secondes. Ce bot serait en mesure de créer plusieurs compte afin d'utiliser MSN Live (originalement Hotmail) afin d'envoyer du spam. L'exploit assez ingénieux, permetterait d'analyser l'image et de répondre aux paquets TCP de captcha dans un temps beaucoup plus petits que les attaques déjà démontrées. Comme disent les auteurs chez Websense: "In the current attack, the response time of CAPTCHA breaking host after grabbing a CAPTCHA image from a victims’ machine, analyzing it, and responding back to victims’ machine with corresponding CAPTCHA code is relatively lower when compared to previous attacks." [ Lire l'article sur Websense ]
msg id:
98
|
HP distribuait des cartes USB infectées10/04/2008, 12:17 pm
Hewlett-Packard a avoué dans un communiqué avoir fait la distribution de carte flash (usb) pré-infectées par un malware. La cie d'analyse SANS Institute's Internet Storm Center (ISC) employée par HP suspecte l'infection de provenir directement de l'usine de production de ces cartes flash et aurait pour cible les serveurs ProLiant. Selon HP, le vers électronique peut facilement être trouvé par la majorité des anti-virus, mais l'entreprise a refusée de préciser lesquels. Lire le communiqué HP, l'article sur ComputerWorld.
msg id:
97
|
Les failles par Side-Channel ignorées par les experts05/04/2008, 12:16 pm
Un article sur theRegister discute des failles par side-channel qui restent souvent ignorées par les experts en sécurité. Ce genre d'attaques consistent à mesurer la chaleur émise par un algorithme ou encore le temps requis pour sont exécution afin d'en apprendre un peu plus sur son fonctionnement. Dans cet article, M. Harko Robroch discute des problèmes retrouvés par les programmeurs afin d'éviter les failles par side-channel. En effet, il explique le fait que souvent, les techniques utilisées pour éviter ces vulnérabilitées en utilisant des variables aléatoires sont retirés automatiquement dans le processus d'optimization d'un algorithme. De plus, comme une faille par side-channel est très difficile à exploiter, elle est souvent ignorée par les concepteurs de matériels de sécurité. Enfin, M Robroch sera présent à la conférence RSA la semaine prochaine qui se tiendra à San Francisco. [ Lire l'article (anglais) ]
msg id:
96
|
Importants problèmes avec le logiciel Flash de Adobe30/03/2008, 12:58 pm
Important dénouement au concours "Pwn to Own" de CanSecWest alors qu'un Macbook Air de Apple et un laptop Vista de Microsoft ont été crackés très rapidement. Bien que le système Vista fût le deuxième à être bisé, la faille utilisée dans ce cas provenait de Adobe Flash. Les participants ont reçu respectivement 10 000$ et 5 000$ pour leurs découvertes. Les failles resteront confidentiels jusqu'à ce que Apple et Adobe corrigent leur logiciel respectif. Selon plusieurs spécialiste, Adobe Flash représente un grand danger présentement puisqu'il est présent sur près de 98% des navigateurs web et souffre toujours de plus d'une douzaine de failles de sécurité sérieuses. [ Lire l'article sur CNET et SecurityFocus ]
msg id:
95
|
La cie d'Hébergement Koumbit perquisitionnée28/03/2008, 10:07 am
Un article de cyberpress fait état d'une visite des enquêteurs de la police de Montréal chez l'Hébergeur montréalais Koumbit suite à la parrution d'articles contreversés sur un site hébergé chez Koumbit, le cmaq ( Centre des médias alternatifs du Québec ). Les articles en question faisaient la revendication indirectes des actes de vendalismes commis envers une banque et quelques voitures de police. Les policiers ont donc consultés les logs de ce site afin de retracer leurs auteurs. Malgrés les opinions de l'Hébergeur, nous croyons qu'il est justifié de saisir du matériel informatique si la sécurité public est en jeu et cela, même si la perquisition représente des pertes financières pour l'entreprise en question. Enfin, selon nous, pour des questions de terrorisme ou de désordre public, il est préférable de restreindre la libre entreprise avant de couper dans les droits et libertés des individus. Lire le communiqué Koumbit.
msg id:
94
|
Heptacube inc. dans le Top25 de branham30024/03/2008, 9:09 pm
Tel que mentionné sur leur blog, l'entreprise de R&D logiciel Heptacube a été nominée par Branham300 comme l'une des nouvelles entreprises les plus créatives et innovatrices au pays. Branham diffuse chaque année un palmarès des entreprises les plus performantes en technologie de l'information. C'est une réussite remarquable pour l'entreprise montréalaise qui n'a pas encore deux ans. Selon Branham, les critères de sélection pour la catégorie IT up and Comers sont les suivants: 1] L’entreprise doit avoir été incorporée après le 31 décembre 2003. 2] Elle doit avoir un avenir prometteur dans l’industrie de la technologie de l’information, déterminé en fonction de sa créativité et de son innovation dans le développement de nouvelles technologies ou dans l’optimisation de technologies existantes.
msg id:
93
|
Conférence: Méthodes d'investigations de la fraude sur les réseaux IP24/03/2008, 8:51 pm
Voici une conférence couvrant les principaux rôles et bénéfices des interventions d'analyse et de gestion des fraudes se déroulant sur un réseau IP. Voici une conférence abordable (35$) du Centre de Recherche informatique de Montréal s'adressant à un public possèdant des connaissances de base en informatique. Elle se tiendra le 27 mars 2008, dans les bureaux du CRIM, 550, Sherbrooke ouest à Montréal. Voici pour conclure, le résumé aussi disponible sur le site du CRIM: "Cette conférence se veut un survol du rôle et bénéfice des interventions d'analyse et de gestion de la fraude ainsi que d'acquérir une compréhension générale des différents moyens de prévention. Identification de la fraude : les différentes approches, les données dans un cycle d'investigation de la fraude et la formulation d'hypothèses et corrélations entre les données. Initiative de gestion de la fraude : les besoins par type d'industries et les objectifs. Stratégies de prévention : les stratégies de prévention et de protection et mesurer les impacts."
msg id:
92
|
Le site web de Trend Micro dans la mire de certains15/03/2008, 10:36 am
Un article sur WebChannel discute des récentes vulnérabilités du site web de l'entreprise de sécurité et d'Antivirus Trend Micro. Les vulnérabilités de Trend Micro seraient le résultat d'une faille découverte Mercredi par le McAfee Avert Lab. Le chercheur de McAfee, Craig Schmugar, nous apprends que les sites vulnérables semblent tous utiliser la technologie Microsoft Active Server Page afin de produire leurs pages HTML. Une simple injection de javascript permetterais à un attaquant d'écrire un iframe afin d'exploiter certaines vulnérabilités dans des programmes ActiveX tel que RealPlayer, Baofeng Storm et Xunlei Thunder DapPlayer. Enfin, pour conclure, on nous sert le fameux "Do not visit untrusted sites" qui selon pourrait facilement être remplacé par un "Do not use Microsoft products". [ lire l'article (anglais) ]
msg id:
91
|
La technologie en temps de guerre08/03/2008, 4:16 pm
Une conférence de Bruce Schneier est maintenant sur le site Internet Archived concernant les apports des militaires dans la recherche en sécurité de l'information (Dual-Use technologies). M. Schneier discute des pricipales différences entre les technologies utilisées en temps de guerre versus celle habituellement utilisées. De plus, il nous présente les vues possibles de la sécruté selon les utlisations de celle-ci. La présomption de sécurité qui est présente sur un logiciel est totalement différente dans le cas des utilisation militaires. En effet, en général, un logiciel est jugé sécuritaire jusqu'à ce qu'une vulnérabilité soit annoncée. Selon lui, la vraie solution à l'augmentation générale de la sécurité d'un logiciel réside dans les pratiques de développement adoptées par les producteurs et programmeurs. La phrase du video est sans aucun doute celle-ci: "If Excel crashes, no one dies". [ écouter la vidéo (anglais) ]
msg id:
90
|
Des puces de lecteurs de cartes bancaires à risque grâce à un trombone27/02/2008, 7:00 pm
Steven J. Murdoch et Ross Anderson, chercheurs à l'Université de Cambridge (Computer Labs) nous rapportent qu'ils ont réussit à déjouer les lecteurs de cartes Ingenico i3300 et Dione Xtreme grâce à un trombone, une aiguille et un simple enregistreur. Selon ces chercheurs, cette technique est possible en Grande Bretagne puisque ce pays a opté pour une frabrication économique des cartes, n'utilisant pas d'encryption asymétrique. De plus, ils critiquent le mauvais processus d'évaluation de PIN des lecteurs de cartes. Les recherches seront publiés en Mai prochain dans IEEE et seront présentés lors du Symposium IEEE sur la Sécurité et la vie privée à Oakland en Mai 2008. [ Lire cet article ] [ Document technique (anglais) ]
msg id:
89
|
Améliorations dans le processus de reconnaissance faciale13/02/2008, 9:23 pm
Selon un article de la revue science, un groupe de chercheurs aurait amélioré le processus de reconnaissance faciale de 54% à 100%. La technique consiste à utiliser la moyenne des caractéristiques de plusieurs photographies. Selon les chercheurs Mike Burton et Rob Jenkins, en éliminant les effets causés par l'âge, le style de cheveux, les expressions du visage ou encore les effets de caméra, il est possible d'obtenir la "face moyenne" d'une personne. Bien que le 100% proclamé par les deux chercheur de l'université Glasgow est probablement un exagération, les avancements de cette science restent très intéressants. Provenant du site theregister.co.uk, voici la version anglaise les dires des deux chercheurs: We modelled human familiarity by using image averaging to derive stable face representations from naturally varying photographs. This simple procedure increased the accuracy of an industry standard face-recognition algorithm from 54 per cent to 100 per cent [...] En lire plus...
msg id:
88
|
Les facteurs humains dans la gestion de la sécurité informatique 11/02/2008, 8:47 pm
M. Michel E. Kabay, Ph.D., CISSP-ISSMP/CTO de l'École des Hautes Études et directeur de programme pour la maîtrise en sciences de la sécurité informatique de l'Université Norwich donnera le 28 Février prochain une journée de formation afin de comprendre et mettre en œuvre une bonne gestion de la sécurité informatique dans une entreprise. Les thèmes abordés incluent l'élaboration et la présentation d'une politique de la sécurité informatique, la conscientisation des gestionnaires et du personnel, les règles de gestion du personnel, la sécurité des opérations, la gestion du courriel et de l'accès à Internet, l'application efficace de la psychologie sociale et les techniques pour développer des politiques et des pratiques de sécurité informatique efficaces. Cette journée de formation coute 395$, les inscriptions sur le site du Centre de Recherche Informatique de Montréal.
msg id:
87
|
Les pros de sécurité perdent leur temps08/02/2008, 11:37 pm
Selon Peter Tippett, le vice président de la gestion des risques chez Verizon et développeur du premier antivirus (Norton), les experts en sécurité perdent leur temps. Dans cet article (anglais), il critique l'industrie de la sécurité de l'information et lui reproche d'être trop concentrée sur certains aspects comme la recherche de vulnérabilités. Selon lui, uniquement 3 pourcents des failles de sécurité trouvés sont exploités. De plus, il critique le manque de constance dans la sécurisation des informations privées des entreprises. Par exemple, il affirme qu'il est inutile de d'utiliser un mot de passe très long si vos collègues de travail utilisent des mots de passe très courts. Enfin, selon nous, ces reproches restent très discutables. "Security teams need to rethink the way they spend their time, focusing on efforts that could potentially pay higher security dividends, Tippett suggested. "
msg id:
86
|
Éviter les botnet dans vos applications web02/02/2008, 11:26 pm
Cet article vous propose des trucs afin d'améliorer la sécurité de vos applications Web et ainsi réduire les risques d'utilisations détournées. Ce document expose une réalité bien présente sur l'internet et propose par exemple la conservation d'historique des méthodes POST, l'utilisation du captcha et l'élimination des confirmations inutiles afin d'augmenter la sécurité de vos applications. Enfin, voici un extrait de la conclusion, résumant l'essentiel : " [...] il est primordial de toujours évaluer les risques et dommages pouvant être causés suite à une faille de sécurité bien exploitée et par le fait même, inclure les frais relatifs à la sécurisation de votre application dans l'estimation initiale des frais de développement." [ Lire cet article... ]
msg id:
85
|
Les auteurs du Storm Worm resteront dans l'ombre02/02/2008, 1:02 am
Un article du Washington Post nous informe que les authorités américaines connaissent l'identité des auteurs du Storm Worm qui a infecté plus de 12 000 ordinateurs durant l'année dernière. En effet, on nous informe que les auteurs de ce ver ne pourront être traduits en justice puisque les autorités russes de St. Petersburg refusent de coopérer. Ce journal nous présente aussi une entrevue avec Vincent Gullotto, à la tête de l'équipe de recherce en sécurité chez Microsoft. Enfin, il nous explique que le paysage a beaucoup changé pour les auteurs de "malware" suite aux récentes victoires obtenues avec les programmes de récompense et de dénonciation mis en place suite à l'apparition des vers "Blaster" et "Sasser" de 2003.
msg id:
84
|
Sears.com fait la distribution d'un spyware08/01/2008, 9:26 pm
Selon un article repris sur plusieurs blogues de sécurité, sears.com fait la distribution d'un spyware en invitant ses visiteurs à télécharger un outil permettant de devenir gratuitement membre de la communauté Sears. Le logiciel est en fait un proxy qui permet à Sears de visualiser votre activité web. Benjamin Googins a effectivement fait la découverte en analysant les transactions IP effectuées après avoir installé ce logiciel sur son ordinateur. Inutile de vous dire que ce genre de politique est plutôt dangereux pour la vie privée. Bravo Sears! Voici en quelques mots (anglais), la conclusion de cet article: "Sears.com is pushing software with extensive user tracking capabilities and doing a very poor job of obtaining informed consent – if at all. After the proxy software is installed on the user’s system there is nothing on the user’s desktop to indicate their every move on the Internet is being collected and sent to a third party market research company, comScore." [ En lire plus ]
msg id:
83
|
Top 10 des avis de sécurité et vulnérabilités 200703/01/2008, 12:43 am
Voici notre top 10 des alertes de sécurité et vulnérabilités les plus populaires de l'année 2007. Sans grosse suprise, nous constatons que les avis "maison", soit ceux produits par notre équipe, sont tous présents dans ce palmares. De plus, nous comptons 4 documents produient par des individus ou sociétés du Québec. La section avis de sécurité et vulnérabilités logiciels a servit près de 20 000 pages en 2007.
msg id:
82
|
|
|
|
