» Publishers, Monetize your RSS feeds with FeedShow: More infos (Show/Hide Ads)
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant, situé dans un système invité, peut remapper les interruptions d'un périphérique, afin de mener un déni de service.
Produits concernés : XenServer, Debian, Fedora, Unix (plateforme)
Gravité : 2/4
Date création : 02/05/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Un système, utilisant un processeur Intel VT-d, peut utiliser la fonctionnalité PCI Passthrough, afin qu'un périphérique supportant la fonctionnalité Bus Mastering soit accessible aux systèmes invités.
Cependant, dans cette configuration, l'origine des requêtes de réassociation (remapping) des interruptions n'est pas vérifiée.
Un attaquant, situé dans un système invité, peut donc remapper les interruptions d'un périphérique, afin de mener un déni de service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut envoyer des paquets SNMP malformés vers de Cisco IOS XR, afin de mener un déni de service.
Produits concernés : IOS XR
Gravité : 2/4
Date création : 02/05/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Un attaquant peut envoyer des paquets SNMP malformés vers de Cisco IOS XR, afin de mener un déni de service.
Les détails techniques ne sont pas connus.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
La propriété intellectuelle détenue actuellement dans les datacenters, notamment les informations relatives à la recherche et au développement, aux stratégies commerciales et aux procédés industriels, est extrêmement précieuse. On comprend aisément que la menace du vol de telles données donne la migraine aux responsables de la sécurité informatique. Et ce, à juste titre car selon une étude menée récemment par le Ponemon Institute dans le monde et en France, la plupart des entreprises ont signalé en moyenne près de deux atteintes à la sécurité réussies au cours de ces deux dernières années.
Malgré cela, seulement 43 % des personnes interrogées en France affirment que la sécurisation du trafic Web est leur préoccupation majeure. Elles sont 62 % à ne pas utiliser de pare-feux d'application Web, en raison du nombre élevé de faux positifs qui parfois bloquent de véritables clients. La menace et le risque de gêne pour les clients seraient considérés comme supérieurs à la menace et au risque d'intrusion. Alors, que faire pour protéger le datacenter sans risquer de bloquer les clients réels générateurs de revenus ? Le mécanisme de leurre de type « Intrusion Deception » peut constituer une solution.
Logiciels ou matériels, les dispositifs de type « Intrusion Deception » sont placés devant les serveurs d'applications et derrière le pare-feu. Ils ne remplacent pas la protection du pare-feu existante, mais l'améliorent considérablement en assurant trois fonctions clés : la détection des éventuelles attaques, le suivi et profilage des responsables et la réponse appropriée.
La détection
Une solution de type « Intrusion Deception » insère automatiquement des points de détection ou sortes de collets tels que des URL, des formulaires et fichiers de serveur, dans les flux de trafic Web. Ces pièges agissent comme une série de tripwires. Le code étant totalement différent de celui du site Web, lorsque les pirates le manipulent, ils s'identifient de manière formelle comme auteurs d'une action malveillante. Il ne peut y avoir de faux positifs, ni aucun impact sur les performances du site Web. Comme les points de détection sont insérés de manière intelligente au moment de l'utilisation, et supprimés à la sortie, ils ne touchent jamais le serveur d'applications, ce qui n'affecte en rien la performance.
Le suivi et le profilage
Dès que l'attaquant est détecté, la solution peut le mener automatiquement dans des impasses, vers des listes de numéros de cartes de crédit qui n'existent pas, par exemple, ou vers des semblants de vulnérabilités facilement exploitables qui sont en réalité de fausses façades.
L'objectif est d'induire en erreur les attaquants, tout en effectuant simultanément leur profilage à l'aide d'un jeton persistant injecté dans leur client. Comme de nombreux utilisateurs peuvent accéder à un site à partir de la même adresse IP, les informations collectées vont bien au-delà, permettant d'enregistrer une « empreinte » détaillée du périphérique de l'attaquant en cours d'utilisation.
Chaque attaquant se voit également attribuer un nom et tous les incidents sont enregistrés avec un niveau de menace en fonction de l'intention et de la technique. Ces informations peuvent alors servir par la suite à identifier de manière proactive les attaquants.
La réponse
Finalement, les solutions de type « Intrusion Deception » permettent aux entreprises de répondre de manière appropriée aux attaques en fonction du profil et du niveau de menace. Cela peut prendre la forme d'un simple avertissement ou d'une demande de CAPTCHA. Côté attaquant, la solution peut aller jusqu'à bloquer son système ou à le forcer à se déconnecter. Quelle que soit la réponse employée, elle est automatiquement déclenchée par les systèmes les plus sophistiqués.
En menant les pirates sur de fausses pistes, les solutions de type « Intrusion Deception » peuvent rendre les attaques sur les applications Web onéreuses et extrêmement frustrantes. Résultat : ces solutions offrent des niveaux de sécurité élevés et constituent une protection particulièrement efficace contre les attaques Web de type « zero-day ». N'engendrant aucun impact sur les performances des applications, elles constituent un élément particulièrement intéressant au sein de la stratégie de sécurité d'un datacenter d'entreprise.
ESET a découvert et analysé une cyber-attaque ciblée qui tente de voler des informations sensibles provenant de différentes organisations, notamment au Pakistan (avec une portée limitée dans le monde). Au cours de cette investigation menée par ESET, plusieurs pistes ont été découvertes qui indiquent que la menace est d'origine indienne et qu'elle sévit depuis au moins deux ans.
Cette attaque ciblée a utilisé un certificat de signatures de code délivré par une société apparemment légitime qui aurait produit des signatures binaires malveillantes et favorisé leur potentiel de propagation. La société est basée à New Delhi et le certificat a été délivré en 2011. Le malware se diffuse à travers des pièces jointes aux e-mails.
« Nous avons identifié plusieurs documents différents qui évoquent plusieurs thèmes susceptibles d'être attractifs pour les bénéficiaires. L'un d'eux concerne les forces armées indiennes. Nous n'avons pas d'informations précises quant aux personnes ou organisations qui ont été plus particulièrement touchées par ces fichiers, mais sur la base de nos enquêtes, nous formulons l'hypothèse que des personnes et des institutions au Pakistan ont été ciblées », a déclaré Jean-Ian Boutin, chercheur en malware chez ESET. Par exemple, l'un des fichiers PDF frauduleux a été diffusé par une archive auto-extractible appelée "pakistandefencetoindiantopmiltrysecreat.exe", et le système de supervision d'ESET montre que le Pakistan est fortement affecté par cette campagne avec 79 % des détections repérées dans ce pays.
Le premier vecteur de l'infection exploite une vulnérabilité largement utilisée et connue sous le nom CVE-2012-0158. Cette vulnérabilité peut être exploitée par des documents Microsoft ® Office spécialement conçus qui permettent l'exécution de code arbitraire. Les documents ont été transmis par email et le code malveillant s'exécute dès que le document est ouvert, sans que l'utilisateur de l'ordinateur attaqué s'en aperçoive. L'autre vecteur d'infection s'effectue via les fichiers exécutables Windows qui apparaissent comme des documents Word ou PDF diffusés par la messagerie. Dans les deux cas, pour échapper à la suspicion de la victime, de faux documents sont présentés à l'utilisateur lors de l'exécution.
Le malware a volé des données sensibles à partir d'ordinateurs infectés et les a envoyées vers les serveurs des attaquants. Il a utilisé différentes techniques de vols de données, parmi elles un keylogger, réalisant des captures d'écran et envoyant des documents de l'ordinateur infecté vers le serveur de l'attaquant. Fait intéressant, les informations volées à partir d'un ordinateur infecté ont été téléchargées vers le serveur de l'attaquant sans cryptage. "La décision de ne pas utiliser de cryptage est étonnante dans la mesure où cette opération est relativement simple à utiliser et aurait pu masquer davantage l'opération », ajoute Jean-Ian Boutin.
Une analyse technique complète est disponible sur le site WeLiveSecurity.com - la nouvelle plate-forme d'ESET dédiée à l'analyse des cyber-menaces et aux conseils de sécurité.
Noms de détection
C'est une menace multi-partie et multi-vectorielle, dont les noms des menaces attribués par ESET sont les suivants :
Win32/Agent.NLD worm
Win32/Spy.Agent.NZD Trojan
Win32/Spy.Agent.OBF Trojan
Win32/Spy.Agent.OBV Trojan
Win32/Spy.KeyLogger.NZL Trojan
Win32/Spy.KeyLogger.NZN Trojan
Win32/Spy.VB.NOF Trojan
Win32/Spy.VB.NRP Trojan
Win32/TrojanDownloader.Agent.RNT Trojan
Win32/TrojanDownloader.Agent.RNV Trojan
Win32/TrojanDownloader.Agent.RNW Trojan
Win32/VB.NTC Trojan
Win32/VB.NVM Trojan
Win32/VB.NWB Trojan
Win32/VB.QPK Trojan
Win32/VB.QTV Trojan
Win32/VB.QTY Trojan
Win32/Spy.Agent.NVL Trojan
Win32/Spy.Agent.OAZ trojan
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités de Cisco Prime Central for Hosted Collaboration Solution.
Produits concernés : Cisco Prime
Gravité : 2/4
Date création : 02/05/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans Cisco Prime Central for Hosted Collaboration Solution.
Un attaquant peut traverser un répertoire, afin de lire un fichier. [grav:2/4 ; BID-59702, CSCud51034, CVE-2013-1156]
Un attaquant peut provoquer un Cross Site Scripting de ITM Java Servlet Container, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4 ; BID-59632, CSCud51068, CVE-2013-1157]
Un attaquant peut provoquer un Cross Site Scripting dans ITM Help Menus, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4 ; BID-59635, CSCud54397, CVE-2013-1158]
Un attaquant peut provoquer un Cross Site Scripting dans NCI Web Menus, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4 ; BID-59697, CSCud56706, CVE-2013-1159]
Un attaquant peut provoquer un Cross Site Scripting dans OpenView Web Menus, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4 ; BID-59696, CSCud56743, CVE-2013-1160]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut formater des commandes spéciales dans Cisco Prime et Secure ACS, afin d'élever ses privilèges.
Produits concernés : Cisco Prime, Secure ACS
Gravité : 2/4
Date création : 02/05/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Un attaquant local peut formater des commandes spéciales dans Cisco Prime et Secure ACS, afin d'élever ses privilèges.
Les détails techniques ne sont pas connus.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut inviter la victime à ouvrir une image TIFF illicite avec tiff2pdf, afin de mener un déni de service ou faire exécuter du code.
Produits concernés : Fedora, Unix (plateforme)
Gravité : 2/4
Date création : 02/05/2013
DESCRIPTION DE LA VULNÉRABILITÉ
L'utilitaire tiff2pdf de la suite libtiff permet de convertir une image TIFF en document PDF.
La fonction t2p_write_pdf_page() du fichier tiff2pdf.c génère un objet PDF Page. Le champ PDF MediaBox définit la zone de la page contenant les données. Ses valeurs sont générées à l'aide de la fonction sprintf() qui écrit dans un tableau de 16 octets. Cependant, si l'image TIFF utilise des tailles trop grandes, un buffer overflow se produit.
Un attaquant peut donc inviter la victime à ouvrir une image TIFF illicite avec tiff2pdf, afin de mener un déni de service ou faire exécuter du code.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut inviter la victime à ouvrir une image TIFF illicite avec tiff2pdf, afin de mener un déni de service ou faire exécuter du code.
Produits concernés : Fedora, Unix (plateforme)
Gravité : 2/4
Date création : 02/05/2013
DESCRIPTION DE LA VULNÉRABILITÉ
L'utilitaire tiff2pdf de la suite libtiff permet de convertir une image TIFF en document PDF.
La fonction t2_process_jpeg_strip() du fichier tiff2pdf.c gère l'encodage en bande des données de l'image. Cependant, si l'image TIFF utilise des valeurs invalides, un buffer overflow se produit.
Un attaquant peut donc inviter la victime à ouvrir une image TIFF illicite avec tiff2pdf, afin de mener un déni de service ou faire exécuter du code.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
Le distributeur à valeur ajoutée Exclusive Networks annonce, aujourd'hui, le lancement de ses Forums des Nouvelles Technologies 2013 organisés du 4 au 20 juin dans les villes suivantes : Paris, Lyon, Toulouse et Aix.
Lors d'ateliers animés par chacun des fournisseurs, les partenaires auront la possibilité d'échanger avec 14 constructeurs distribués par Exclusive Networks dans les domaines de la sécurité, des réseaux et du stockage : Aerohive Networks, CA Technologies, FireEye, Fortinet, HID Identity Assurance, Infoblox, LogRhythm, Nimble Storage, Palo Alto Networks, Proofpoint, Quantum, Silver Peak, Tufin, Zscaler.
L'événement sera l'occasion de découvrir la technologie de ces 14 entreprises innovantes et d'identifier des opportunités commerciales. Le tour sera :
à Paris, le mardi 4 juin, Salons France Amériques ;
à Lyon, le mardi 11 juin, La Plate-forme ;
à Toulouse, le mardi 18 juin, Pullman Blagnac ;
à Aix-en-Provence, le jeudi 20 juin, Château Pioline.
L'agenda complet et le formulaire d'inscription sont disponibles sur : exclusive-networks.fr.
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsque l'administrateur utilise le script nagios.upgrade_to_v3.sh, un attaquant local peut créer un lien symbolique, afin de corrompre un fichier avec les droits root.
Produits concernés : Nagios Open Source
Gravité : 2/4
Date création : 02/05/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Le script nagios.upgrade_to_v3.sh est installé par certaines distributions Linux, afin de migrer Nagios en version supérieure.
Cependant, ce script utilise un nom de fichier temporaire prédictible (/tmp/nagioscfg.$$.tmp) pour stocker la configuration.
Lorsque l'administrateur utilise le script nagios.upgrade_to_v3.sh, un attaquant local peut donc créer un lien symbolique, afin de corrompre un fichier avec les droits root.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
Palo Alto Networks, le spécialiste de la sécurité des réseaux annonce aujourd'hui avoir atteint le niveau d'évaluation EAL4+ du standard international d'évaluation pour la sécurité des systèmes d'information, Common Criteria (CC). Soit le plus haut niveau de certification, mondialement reconnue, pour la catégorie pare-feu.
Cette distinction marque l'achèvement d'une évaluation rigoureuse réalisée par des experts tiers indépendants. Les Firewalls Nouvelle Generation (NGFW) Palo Alto Networks sont des plates-formes de sécurité validées par des experts indépendants destinées aux infrastructures les plus critiques, allant des gouvernements nationaux aux entreprises en passant par les réseaux d'entreprises de la finance.
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut envoyer un email contenant du code Java, LiveConnect ou JavaScript illicite, afin qu'il soit exécuté lorsque la victime ouvre sa boîte aux lettres IBM Lotus Notes.
Produits concernés : Notes
Gravité : 2/4
Date création : 02/05/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Le client Lotus Notes affiche les emails HTML, en activant par défaut :
les applets Java
LiveConnect
le code JavaScript
Cependant, par exemple, si une version vulnérable du JRE est installée sur le système, le client Lotus Notes peut servir de vecteur d'attaque.
Un attaquant peut donc envoyer un email contenant du code Java, LiveConnect ou JavaScript illicite, afin qu'il soit exécuté lorsque la victime ouvre sa boîte aux lettres IBM Lotus Notes.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
Cassidian, la division défense et sécurité d'EADS, s'est vu attribuer un contrat portant sur la fourniture de services de sécurité visant à protéger l'infrastructure des technologies de l'information et de la communication (TIC) du Parlement britannique contre les attaques cybernétiques.
Attribué début avril, le contrat s'étend sur une durée initiale de 3 ans.
Il s'agit de l'un des premiers contrats attribués à un prestataire de confiance agréé de services de cyber sécurité et de sécurité réseau dans le cadre du Réseau de services publics (Public Services Network – PSN). Le secteur public britannique affirme ainsi sa volonté d'établir un processus transparent et homogène afin d'obtenir le meilleur rapport qualité-prix dans l'achat de prestations de service.
En 2012, Cassidian avait été sélectionné par le CESG (la branche du Government Communications Headquarters chargée de la sûreté de l'information) et le Centre pour la protection de l'infrastructure nationale (CPNI), pour participer au projet pilote de réponse aux incidents cybernétiques, qui repose sur la coopération de quatre entreprises de cyber sécurité avec les Autorités nationales. Cassidian a d'ores et déjà fourni avec succès divers services de sécurité réseau pour l'infrastructure informatique militaire, ce qui confère à l'entreprise une crédibilité reconnue par les autorités britanniques.
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut se positionner en Man-in-the-middle, afin d'intercepter le mot de passe de l'utilisateur de Fortinet FortiClient VPN Client.
Produits concernés : FortiClient
Gravité : 2/4
Date création : 02/05/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Fortinet FortiClient VPN Client se connecte sur le firewall, pour établir un tunnel sécurisé.
Il vérifie le certificat X.509 du firewall, afin de s'assurer qu'il se connecte sur le bon serveur. Cependant, si le serveur a changé, un message d'erreur est affiché, mais il envoie tout de même le login et de le mot de passe de l'utilisateur vers le nouveau serveur.
Un attaquant peut donc se positionner en Man-in-the-middle, afin d'intercepter le mot de passe de l'utilisateur de Fortinet FortiClient VPN Client.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
La caméra dôme en réseau AXIS P5414-E PTZ est la première d'une nouvelle gamme de caméras orientables avec zoom, prévues pour montage en extérieur. Elle bénéficie d'un système intelligent d'orientation, horizontalement et verticalement, à entraînement direct, ce qui lui procure une endurance mécanique inégalée. Ceci, parallèlement à d'autres innovations matérielles, a donné naissance à la HDTV 720p PTZ dôme, au design unique et au prix attractif, avec un zoom optique x18, destinée aux installations de surveillance montées sur des murs extérieurs – un système idéal pour la surveillance urbaine et celle des parkings et des cours d'école.
Axis Communications, leader mondial de la vidéo en réseau, présente aujourd'hui une caméra PTZ à entraînement direct, avec peu de pièces mobiles. Cette caméra est fixée directement sur les arbres de deux moteurs : un pour le balayage horizontal et l'autre pour le balayage vertical. Grâce à l'absence de courroies et d'engrenages, le robuste et très efficace système d'orientation de l'AXIS P5414-E permet aux clients de disposer d'une caméra PTZ fiable et ne nécessitant que peu d'entretien. Parmi les autres innovations, citons son support intégré, qui élimine la nécessité d'acheter un accessoire de montage séparé. En plus de faire réaliser des économies au client, ceci facilite encore plus le montage sur un mur.
L'AXIS P5414-E possède un pare-soleil intégré, conçu pour être facilement démonté, de façon à permettre aux clients de le repeindre pour l'accorder à l'environnement de l'installation. La forme inclinée du pare-soleil aide également la caméra à résister aux tentatives des vandales pour la décrocher. La caméra possède un boîtier de raccordement caché qui accueille un emplacement pour carte mémoire audio double sens, quatre entrées / sorties paramétrables pour dispositifs externes, et la possibilité pour les clients d'utiliser une alimentation 24 V DC ou une alimentation sur Ethernet Plus (IEEE 802.3at). L'AXIS P5414-E peut fonctionner avec Advanced Gatekeeper, qui permet à la caméra de s'orienter, horizontalement et verticalement, et de zoomer suivant une position préréglée quand un mouvement est détecté dans une zone prédéfinie. En utilisant un support d'angle, il est également possible de monter l'AXIS P5414-E sur le coin d'un bâtiment ; ce qui lui permet, grâce à sa possibilité de balayer sur 270° et à son important zoom optique, de surveiller une vaste zone avec la précision propre à la définition HDTV. Elle sera disponible en juillet 2013 dans le réseau de distribution Axis, au prix suggéré de 1342 €.
Parmi les caractéristiques de l'AXIS P5414-E, citons : L'AXIS P5414-E est une caméra dôme en réseau HDTV PTZ innovante, destinée à être montée sur un mur extérieur.
La performance HDTV 720p, conforme à la norme SMPTE 296M en ce qui concerne la résolution, la cadence de prise de vue, la fidélité des couleurs HDTV et le format 16:9.
Le zoom x18 autofocus, associé à la résolution HDTV, produit des vues zoomées qui offrent non seulement le même niveau de détails qu'une caméra à résolution standard avec un zoom x36, mais avec l'avantage supplémentaire d'un plus large (16:9) champ de vision.
Les flux multiples, paramétrables individuellement, en formats vidéo H.264 et Motion JPEG.
La fonctionnalité jour / nuit, qui met en jeu un filtre infrarouge automatiquement amovible pour fournir des vidéos en couleur pendant le jour, et des vidéos noir et blanc de haute qualité dans les conditions de faible éclairage.
Les fonctionnalités vidéo intelligentes, comme la vidéo détection des mouvements, la détection Advanced Gatekeeper et la détection audio, ainsi que possibilité d'accueillir des applications additionnelles grâce à la plateforme AXIS Camera Application Platform.
Apte à un montage à l'extérieur, grâce à ses classifications IP66 et NEMA 4X qui garantissent sa résistance à la poussière, à la pluie, à la neige et à la corrosion.
AXIS P5414-E peut compter sur la plus grande base de logiciels de gestion vidéo du marché, grâce au programme de partenariat Axis Application Development Partner Program, à AXIS Camera Station et à AXIS Camera Companion. La caméra inclut également un support pour les systèmes AXIS Video Hosting System et ONVIF pour faciliter l'intégration au système de caméra.
Tunisiana et Orange Tunisie annoncent la signature d'un contrat de partenariat avec Interoute, propriétaire du plus grand réseau de nouvelle génération d'Europe, pour la mise en service d'un câble sous-marin, baptisé « Didon », reliant la ville de Kélibia en Tunisie au réseau paneuropéen de fibre optique d'Interoute via sa station terrestre de Mazzara Del Vallo, en Sicile. Premier câble sous-marin privé de Tunisie, Didon s'étendra sur près de 170 km de fibre optique et constituera un véritable vecteur de développement social et de croissance économique pour le pays. Le câble devrait être opérationnel en avril 2014, sa capacité atteindra les 8 Térabits/seconde pour chacun des opérateurs.
La signature de ce partenariat s'inscrit dans l'initiative nationale pour soutenir et développer le secteur informatique et offrir aux Tunisiens un accès supplémentaire aux réseaux internationaux large bande à des tarifs intéressants.
La nouvelle connexion par câble emploiera la technologie sous-marine d'Alcatel-Lucent permettant d'atteindre des vitesses de transfert de données de 100 Gb/s, une technologie qui aidera à adresser la demande en pleine explosion pour des services large bande fixes et mobiles en Tunisie et alentours, et à fiabiliser le système. Le câble sous-marin offrira la plus haute qualité de service aux abonnés des deux opérateurs tunisiens, en améliorant la qualité de leurs réseaux internationaux actuels et en fournissant un meilleur débit pour soutenir la croissance continue des échanges de données. Le but est également d'augmenter la capacité et la sécurité pour les internautes.
La Tunisie possède l'une des infrastructures large bande les plus modernes du bassin méditerranéen avec des liaisons terrestres et sous-marines haut débit constituant un réseau entièrement numérisé et une porte d'entrée internationale pour les plus grands réseaux mondiaux. Tunisiana et Orange Tunisie offrent une large gamme d'applications fixes et mobiles d'information ou de divertissement, à plus de 9 millions d'abonnés.
Par ce partenariat, Tunisiana et Orange Tunisie démontrent leur volonté de fournir à leurs clients grand public et entreprises des services de qualité conformes aux standards internationaux et à des coûts maitrisés, ainsi que des capacités substantielles pour la voix et les données et des possibilités plus larges en termes de connectivité, de partage de données et d'information avec le reste du monde.
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer un Cross Site Scripting dans Filebrowser de Drupal, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Drupal
Gravité : 2/4
Date création : 02/05/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Le module Filebrowser permet de parcourir un répertoire.
Cependant, il ne filtre pas les données reçues avant de les insérer dans les documents HTML générés.
Un attaquant peut donc provoquer un Cross Site Scripting dans Filebrowser de Drupal, afin d'exécuter du code JavaScript dans le contexte du site web.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
L'Homme ne peut se passer de nuire à autrui de quelque façon que ce soit. Et comme pour toute nuisance, il existe à postériori des solutions capables de les stopper. Dans le domaine informatique, des outils permettent de se protéger et d'être alerté des menaces. Encore faut-il disposer des bonnes solutions et surtout investir suffisamment pour s'en prémunir.
Il y a encore quelques années, le SI s'apparentait surtout à une infrastructure capable d'assurer un service avec un minimum de protection. En 2000, on en était encore au simple Firewall dans la plupart des sociétés. Le répartiteur de charge applicatif était au centre de tous les investissements afin d'optimiser les performances et rendre disponibles les applications 24h/24. La sécurité se cantonnait à l'utilisation de Firewalls avec lesquels on se sentait protégé car seuls les ports 80 (http), 25 (smtp), 443 (https), 53 (dns) et 21 (ftp) étaient ouverts.
Depuis, la technologie a énormément progressé et de nombreuses nouvelles menaces sont apparues pour contourner les mécanismes de protection simple. Parmi ces menaces, on retrouve notamment celles du top 10 de l'OWASP (Open Web Application Security Project) comme le SQL Injection, le XSS (Cross Site Scripting), le Forceful Browsing et bien d'autres encore. Toutes ces attaques exploitent des vulnérabilités connues des systèmes et des applications que les entreprises utilisent. Depuis 2006, près de 75 % des attaques sur Internet sont applicatives et utilisent des failles de sécurité. Le SI a alors évolué avec la mise en place de couches de protection IPS puis WAF mais celles-ci ne couvrent pas toutes les menaces.
Par défaut pour se prémunir de quelque chose, il faut que ces menaces existent. En partant de cette affirmation, on se rend compte rapidement que le hacker aura toujours une longueur d'avance sur les mécanismes de sécurité. Actuellement, on constate une cyber-intrusion toutes les 5 minutes et 67 % des entreprises ne peuvent bloquer une attaque ciblée.
Malgré cela, encore aujourd'hui, l'accent au sein du SI est essentiellement donné à la performance et à la disponibilité, ne laissant qu'une faible importance à la sécurité. Pourquoi ? Tout simplement parce que nous sommes dans un monde de consommation où l'objectif est de faire du profit. Il n'est donc, dans l'esprit de nombreuses personnes, pas nécessaire d'investir dans la sécurité mais plutôt dans des outils permettant de gagner du temps. Ceci est une très grave erreur car c'est à la fois la réputation de l'entreprise est en jeu mais également les informations qu'elle conserve (et notamment les informations personnelles qui concernent les utilisateurs).
Il est temps de penser « sécurité » lorsqu'un nouveau projet est développé au sein du SI.
Depuis les années 2010, une nouvelle technologie est apparue sur le marché pour prévenir au maximum ces nouvelles menaces que l'on connait communément sous le terme d'APT (Advanced Persistent Threat). Mais celles-ci ne sont pas les seules à faire des dégâts, d'autres ont été découvertes et rendues publiques récemment comme Red October (attaque mondiale de cyber-espionnage basée sur le vol d'informations qui sévit depuis plus de 5 ans), Stuxnet ou encore MiniDuke (attaque mondiale de cyber-espionnage utilisant Twitter). Ces menaces de « nouvelle génération » posent de vrais problèmes en terme d'image et de réputation aux entreprises et surtout des problèmes de fuite de données.
Quelques exemples de vols de données qui auraient pu être évités en investissant quelques centaines de milliers d'euros dans la sécurité En avril 2011, le piratage du Playstation Network de SONY a eu un impact énorme sur l'image de la société avec une perte de données pour plus de 77 millions d'utilisateurs (informations bancaires et personnelles). Celle-ci a engendré plusieurs milliards de dollars de pertes et un grand nombre d'actions en justice a été engagé contre SONY. La firme japonaise a du dédommager de nombreux utilisateurs, ce qui a encore accru la perte financière suite à cette attaque.
Pour LinkedIn, une faille de sécurité a permis aux hackers de dérober des millions de mot de passe utilisateurs. L'image de marque du site de réseau social professionnel en a pris un coup. Encore une fois la sécurité de cryptage des mots de passe a été montrée du doigt. La protection des données n'était pas assez sécurisée.
Le New York Times, le Wall Street Journal ou encore CNN ont été victimes également de piratage où les identifiants et mots de passe de journalistes ont été dérobés par des espions chinois. Là encore, l'image est ternie.
La société RSA a elle aussi été victime d'attaques de type APT qui ont permis à ses détracteurs de dérober un grand nombre de données sensibles (notamment des produits d'authentification SecurID) grâce à une variante de Poison Ivy RAT.
On pourrait encore citer Bercy (victime également d'une APT) et pleins d'autres mais ce qu'il faut surtout retenir, ce sont les conséquences de ces attaques. La réputation et la crédibilité de toutes ses sociétés, qui n'avaient pas suffisamment investi dans la sécurité de leur SI, ont été fortement impactées avec des pertes financières record et une image ternie.
Pourtant des solutions de sécurité évoluées existent
Des éditeurs se sont spécialisés sur la protection face à ce type de menaces. Parmi les solutions, les plus pertinentes aujourd'hui permettent d'analyser les requêtes à destination des machines au sein du SI (que ce soient des serveurs ou des postes clients) afin d'analyser leur contenu et leur comportement. Si le comportement ou le contenu est suspect, la solution se charge de simuler ces requêtes en sandbox* pour en définir le niveau de gravité et les bloquer le cas échéant. Il est alors possible, grâce à ces solutions, de repérer notamment des communications C&C; (Command and control), des 0-Day, des exfiltrations de données, etc. D'autres solutions permettent de sécuriser les accès aux données en gérant les permissions ou encore en donnant une visibilité sur l'infrastructure. Des technologies permettent également de protéger les bases de données en bloquant les accès non autorisés par exemple.
Un grand nombre d'outils de sécurité existe et qui, combinés, doivent permettre d'assurer une sécurité à plus de 95 % de l'infrastructure d'une entreprise. Le risque zéro n'existe pas (comme dans tous les domaines) mais il est possible de s'en approcher. Pourquoi faire une économie de quelques centaines de milliers d'euros lorsqu'un défaut de sécurité peut coûter des millions voire des milliards ?
En tant que responsables de la sécurité du système d'information, il est du devoir des RSSI de mettre en place toutes les structures nécessaires à la protection de leur infrastructure, en réussissant notamment à convaincre les décideurs du bien-fondé d'investir dans ces nouveaux outils de protection, ce qui n'est pas une mince affaire en ces temps de crise. Et même si de nombreux progrès ont été effectués ces cinq dernières années, il reste encore beaucoup de chemin à parcourir.
* sandbox : Environnement virtualisé, isolé et sécurisé simulant les ressources en production afin d'identifier les impacts potentiels de tel ou tel événement.
Les réglementations ne cessent de s'alourdir. Elles concernent l'administration des entreprises, les établissements financiers, les services RH, le domaine de la santé, les services chargés du maintien de l'ordre et de nombreuses administrations.
Faisant suite à des scandales financiers, des catastrophes naturelles, des faillites, la crise internationale, les préoccupations environnementales et l'exigence de confidentialité de la part du grand public, la pression réglementaire sur les organisations se renforce.
Les diverses réglementations concernent des secteurs d'activité variés et ont des objectifs différents. Mais elles exigent toutes des entreprises qu'elles préservent l'intégrité et la confidentialité de leurs dossiers et archives et qu'elles soient à même de les fournir rapidement. Des exigences qui se résument ainsi : Intégrité, Sécurité et Accessibilité.
Intégrité des données : L'information doit être complète, exacte et stockée derrière des protections administratives, physiques et techniques qui empêchent toute modification, altération et suppression.
Le stockage de toutes les informations non structurées d'une organisation à l'aide de fonctions d'indexation et de suivi assure l'exactitude des données. Une architecture de système avancée offre un stockage sécurisé et prend en charge la conservation à long terme. Le contrôle des versions, la gestion des règles de rétention, le suivi physique des enregistrements, la prise en charge des annotations, du masquage et des signatures électroniques sont autant d'éléments qui protègent l'intégrité du contenu d'entreprise et vous aident à remplir vos obligations légales et managériales sur de longues périodes.
Sécurité et confidentialité des données : L'information doit être accessible uniquement aux utilisateurs autorisés, et protégée contre les utilisations ou diffusions inappropriées.
Les fonctions d'authentification et de chiffrement vous garantissent que seules les personnes autorisées ont accès aux documents protégés. Le masquage sécurisé et le chiffrement des communications contribuent également à protéger les données sensibles, pendant que les fonctions de journalisation et d'audit suivent les activités importantes. Les fonctions de gestion des dossiers et des archives mettent les données à l'abri d'une destruction ou d'une modification inappropriée en cas de procédure légale ou d'audit.
Accessibilité des données : L'information doit être accessible aux utilisateurs autorisés, pour qu'ils puissent les communiquer dans un objectif légal, comme le règlement des conflits ou les audits.
Un ensemble complet de fonctions de recherche, d'affichage et de production assure aux utilisateurs autorisés un accès aux données par différentes méthodes et plates-formes. Un modèle de stockage avancé permet un accès rapide et autorise l'expansion du référentiel. La rétention est facile à gérer pour éviter les destructions de données, et le workflow permet de structurer les accès.
Efficacité et Conformité
Même si certaines entreprises ne sont pas dans l'obligation légale de respecter certaines lois, elles ont face à elles des concurrents qui s'y soumettent volontairement et qui en récolteront les bénéfices. En effet, des processus et des pistes d'audit parfaitement documentés peuvent contribuer à une meilleure gestion de l'information.
Les entreprises qui en prennent conscience peuvent exploiter leurs efforts de conformité pour gagner en efficacité : les décideurs disposent plus facilement des informations critiques, les conflits devant les tribunaux sont réglés plus rapidement, le volume de papier à traiter et acheminer est réduit, les problèmes de stockage sont éliminés, et les utilisateurs bénéficient d'un accès plus rapide aux documents clés (ce qui peut accélérer le service aux clients), etc...
Implication et Conformité
La conformité réglementaire ne se limite pas à des solutions technologiques. Elle exige l'engagement de la direction, une communication interne efficace, une formation permanente et des efforts coordonnés de la part d'individus dispersés dans toute l'organisation. Dans certains cas, l'intervention de consultants extérieurs et un conseil juridique peuvent se révéler utiles.
En effet, les réglementations sont indépendantes de tout choix technologique, et elles n'indiquent pas comment les entreprises doivent s'y prendre pour les respecter. Celles-ci ont donc la responsabilité de trouver les technologies qui répondent à leurs besoins.
Technologie et Conformité
La technologie peut toutefois être un actif puissant dans votre approche de la conformité. En effet, certains décideurs constatent qu'une exploitation efficace de la technologie peut aider leur organisation à éviter les pénalités, tout en rentabilisant à long terme leurs investissements dans la conformité par l'amélioration de l'efficacité opérationnelle.
Un aspect essentiel des efforts de conformité est la gestion efficace du contenu d'entreprise.
En l'absence d'un référentiel centralisé dédié au stockage des grands volumes de données non structurées générés dans une organisation, la conformité réglementaire est impossible.
Les dossiers ou archives ne représentent généralement que 5 à 10 % des informations d'une organisation. Pourtant, d'autres types d'informations organisationnelles, traditionnellement considérées comme temporaires ou insignifiantes, sont de plus en plus concernés par la réglementation légale, et doivent être intégrés à la gestion des dossiers et des archives.
Ainsi, l'objectif d'un programme de gestion des dossiers et des archives est de gérer et protéger les actifs informationnels de l'entreprise pour des raisons légales, réglementaires, fiscales, opérationnelles et historiques, que ces données soient officielles ou plus transitoires.
Si la conformité réglementaire peut être vue comme une charge pour les entreprises, une exploitation intelligente des technologies de gestion des processus et du contenu contribue à la conformité tout en apportant un potentiel d'amélioration de l'efficacité organisationnelle et de la rentabilité.