 Your new post is loading...
Your new post is loading...
Les améliorations envisagées par Oracle ont aussi pour but de montrer que l'éditeur tient compte des retours de la communauté des chercheurs en sécurité. Oracle veut renforcer la sécurité de Java. En particulier, l'éditeur va commencer par corriger la fonction de vérification de la révocation des certificats qui empêche les applets sans signature valide d'être exécutées par défaut, mais il va aussi ajouter des options de gestion centralisées avec des capacités de liste blanche pour les environnements professionnels.
Des pirates ont lancé une fausse information depuis le fil Twitter de l'agence de presse AP, ce qui a provoqué un début de panique sur les marchés financiers. Les spécialistes militent pour un renforcement de l'authentification et du chiffrement de la saisie des mots de passe.
Mardi après-midi, les médias américains ont été pris une nouvelle fois de cours quand les marchés boursiers américains ont brièvement plongé après que le compte Twitter de l'Associated Press (AP) a diffusé ce faux message : « Urgent : deux explosions à la Maison Blanche, Barack Obama blessé ».
Après l'euphorie du lancement, le réseau social a été réactif sur les premières interrogations concernant la protection de la vie privée de Home. Facebook a publié un document de questions/réponses, qui ne semblent pas avoir convaincu tout le monde.
Vendredi, sur son site Internet, Facebook a mis en ligne un document Questions/Réponses pour expliquer comment sa surcouche logicielle Home pour mobiles Android traitait les questions de confidentialité. Dans ce document, l'entreprise explique que, suite aux « nombreuses questions reçues sur la manière dont Home se comporte en matière de vie privée », Facebook a élaboré ce document pour tenter de clarifier les choses. Mais il n'est pas certain que le réseau social ait répondu à toutes les préoccupations.
Hier, le groupe d'utilisateurs Linux espagnol Hispalinux a déposé une plainte antitrust contre Microsoft devant la Commission européenne. Elle concerne l'utilisation de la fonction UEFI (Unified Extensible Firmware Interface) d'amorçage sécurisé Secure Boot dans les PC sous Windows 8.
Une société britannique a trouvé un botnet spécialisé dans la fraude au clic. Il a fait perdre 6 millions de dollars par mois aux annonceurs. La spécialité de ce botnet est de simuler le comportement humain
Les spécialistes de la sécurité alertent sur les risques biens réels des malwares sous Android. Ils battent en brèche certaines idées qui confinent les menaces à la Chine et la Russie et parlent de la diversité des attaques.
La start-up Silent Circle, qui vend des services de communications mobiles cryptés, a livré une nouvelle version de son application Silent Text pour iOS. Celle-ci permet aux utilisateurs d'échanger des fichiers cryptés et de programmer leur autodestruction d'un simple clic.
La technique de détournement du protocole SPF permet de générer un trafic malveillant difficilement détectable par les pare-feux et autres systèmes de sécurité du réseau. Selon des chercheurs en sécurité de Symantec, un nouveau cheval de Troie introduit dans les navigateurs Internet parvient à afficher des publicités malveillantes pendant les sessions de navigation en détournant le protocole SPF (Sender Policy Framework) utilisé pour vérifier le nom de domaine de l'expéditeur d'un courrier électronique, et pour recevoir des instructions envoyées par des pirates, sans être détecté.
A à l'aide d'un ancien backdoor, des pirates ont réussi à remplacer sur des serveurs web les fichiers binaires SSH originaux par de faux fichiers capables de voler les informations d'identification.
Les chercheurs de l'entreprise de sécurité internet Sucuri mettent en garde contre un groupe de pirates informatiques qui a réussi à infecter les serveurs web avec de faux modules Apache et à détourner les services SSH dans le but de voler les informations d'identification des administrateurs et des utilisateurs. « Les pirates remplacent tous les fichiers binaires SSH sur les serveurs compromis avec des versions backdoors programmées pour renvoyer le nom d'hôte, le nom d'utilisateur et le mot de passe des connexions SSH entrantes et sortantes des serveurs sous leur contrôle », ont alerté les chercheurs de Sucuri dans un blog. « J'ai déjà vu dans le passé des backdoors SSHD [SSH daemon] à très petite échelle ou intégrés dans des rootkits publics, mais pas comme celui-ci », a déclaré hier par mail Daniel Cid, CTO de Sucuri. « Non seulement ils modifient le SSH daemon, mais tous les SSH binaires (ssh, ssh-agent, sshd), et leur principal objectif est de voler les mots de passe ».
RSA Security parie sur le big data pour la sécurité informatique de demain. Commentant le document intitulé « Big data fuels intelligence driven security » (« Le big data, des ressources pour la sécurité intelligente»), qui pose les bases de l'intégration des analytiques dans la sécurité, Sam Curry, CTO de RSA, a déclaré : « Le big data rend le secteur de la sécurité intéressant pour l'avenir ».
Selon un rapport de l'Office européen de police (Europol), chaque année, en Europe, la fraude à la carte de crédit rapporte 1,5 milliard d'euros au crime organisé. L'office de police criminelle intergouvernemental estime que l'UE devrait prendre de nouvelles mesures pour lutter contre ces fraudes. La fraude à la carte de crédit est « dominé par des groupes criminels bien structurés et agissant au niveau mondial », explique ainsi le rapport d'Europol publié hier. Cette fraude présente « peu de risques et elle est très rentable », ajoute l'Office européen de police qui recommande à l'Union européenne de lui permettre d'élargir sa collaboration avec des pays non européens pour effectuer ses enquêtes.
Mardi, une agence de presse iranienne citant un responsable de la défense civile locale a rapporté qu'une centrale électrique située dans le sud de l'Iran avait été frappée par une cyber attaque. Mais depuis, ce responsable conteste la version de l'agence de presse et affirme qu'il a simplement déclaré que le pays était préparé à repousser les cyberattaques.
Le patch livré par VMware pour View corrige une faille de sécurité qui pourrait permettre à un utilisateur non autorisé d'accéder à des fichiers système.
|
Selon des chercheurs de ReVuln, des attaquants pourraient exploiter les failles de certains jeux très utilisés pour compromettre les ordinateurs clients et les serveurs.
Phil Zimmermann, le gourou et militant pour la sécurité et la confidentialité va peut-être enfin pouvoir tirer un avantage commercial de son célèbre logiciel de chiffrement PGP (Pretty Good Privacy) écrit dans les années 1990. Il vient en effet d'annoncer que sa startup Silent Circle a ajouté le cryptage de courriels à l'ensemble de ses produits. Lancée l'année dernière, la startup de Phil Zimmermann vend essentiellement une suite de sécurité haut de gamme pour les entreprises et les individus qui considèrent la sécurité personnelle comme un « must have » et non comme une dépense. La suite en question permet déjà le transfert sécurisé de documents, l'échange de vidéos, de fichiers audio et de SMS cryptés entre ordinateurs desktop et portables.
Afin d'améliorer la sécurité des données, Amazon Web Services (AWS) a lancé CloudHSM. Le service utilise une appliance distincte pour protéger les clés cryptographiques utilisées pour le chiffrement. Le cloud d'Amazon propose déjà un certain nombre de solutions pour protéger les données sensibles. Mais pour certaines applications et certaines données qui font l'objet de mandats contractuels ou réglementaires pour la gestion des clés cryptographiques, des protections additionnelles peuvent être nécessaires. « C'est à ce niveau-là que la solution CloudHSM (Hardware Security Module) peut intervenir », a déclaré Amazon. « Jusqu'à présent, les entreprises avaient une seule solution : conserver les données localement ou déployer des équipements en interne pour protéger les données cryptées dans le cloud, avec en contrepartie, un impact négatif sur la performance des applications », a ajouté le fournisseur.
Depuis 2009, Google utilise son propre système libre et public de résolution de noms de domaine (DNS), appelé Public DNS. Le géant du Net a fini l'implémentation du dispositif de sécurité qui permet de vérifier qu'une personne à la recherche d'un site web n'est pas dirigée vers un faux site.
Selon deux chercheurs en sécurité maltais, les utilisateurs du service de jeux Origin d'Electronic Arts (EA) sont exposés à des attaques par exécution de code à distance mettant à profit les URL origin://.
Facebook corrige un bug dans son API, responsable de la fuite des numéros de téléphone des utilisateurs Facebook a commencé à déployer le correctif qui doit réparer un bogue peu courant dans son API. Le problème, repéré depuis le mois de juin 2012, affectait le champ email de quelques applications mobiles et permettait aux développeurs de récupérer de façon aléatoire les numéros de téléphone des utilisateurs.
Avant le week-end, Oracle a livré une mise à jour critique pour Java SE, publiant son correctif du mois de février un peu plus tôt que prévu. Celle-ci doit réparer une vulnérabilité du Java Runtime Environment (JRE) activement exploitée dans les navigateurs Internet. Au total, le patch initialement prévu pour le 19 février 2013, corrige 50 vulnérabilités, dont quelques-unes côté serveur.
Selon des chercheurs de l'entreprise de sécurité Rapid7, des dizaines de millions d'appareils connectés, comme les routeurs, les imprimantes, les serveurs de média, les caméras IP, les téléviseurs intelligents et autres, peuvent être attaqués via Internet du fait des sérieuses lacunes découvertes dans le protocole UPnP (Universal Plug and Play) mis en oeuvre pour leur connexion en réseau.
Selon les chercheurs de Security Explorations, la dernière mise à jour de Java, la 7 Update 11, est également vulnérable à des attaques de contournement de bac à sable.
Les défenseurs des droits numériques et de la vie privée ont salué la décision de Yahoo de permettre l'activation du protocole HTTPS (HTTP sécurisé) pour toute la durée des sessions de messagerie.
Après les PC zombies, les pirates s'intéressent aux smartphones et tablettes pour lancer des des attaques par déni de service distribué (DDoS) contre les sites web des entreprises.
Un recours collectif a été déposé devant un Tribunal de Californie contre Instagram pour violation des droits de propriété sur les photos mises en ligne par les membres sur le réseau de partage. Les utilisateurs contestent les modifications des conditions d'utilisation du site rendues publiques la semaine dernière.
|
cool