• Shortcuts : 'n' next unread feed - 'p' previous unread feed • Styles : 1 2

» Publishers, Monetize your RSS feeds with FeedShow:  More infos  (Show/Hide Ads)


Date: Friday, 19 Sep 2014 09:02

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut utiliser Drupal Avatar Uploader, afin d'obtenir des informations sensibles.

Produits concernés : Drupal Modules

Gravité : 2/4

Date création : 04/09/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Le module Avatar Uploader peut être installé sur Drupal.

Cependant, un attaquant peut contourner les restrictions d'accès aux données pour accéder à un fichier.

Un attaquant peut donc utiliser Drupal Avatar Uploader, afin d'obtenir des informations sensibles.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/D...

Author: "Vigil@nce" Tags: "Vulnérabilités"
Send by mail Print  Save  Delicious 
Date: Friday, 19 Sep 2014 08:53

Près des deux tiers (62 %) des entreprises de taille moyenne européennes et près de la moitié (47 %) en Amérique du Nord considèrent que leurs équipes marketing sont les mieux à même d'extraire les renseignements utiles de l'information pour la valoriser, et environ la moitié d'entre elles (46 et 57 % respectivement) pensent de même du service client. Pourtant, moins d'1 % d'entre elles considèrent que la responsabilité de protéger les informations devrait revenir à ces équipes, selon une étude[i] du spécialiste des services de conservation et de gestion de l'information, Iron Mountain, menée avec PwC.

Bon nombre d'entreprises semblent ignorer qu'en dissociant ainsi accès à l'information et responsabilité des employés, elles risquent de compromettre sérieusement la sécurité de leurs informations. L'Indice 2014 de maturité de la gestion des risques pour l'information révèle que la plupart des entreprises attendent du responsable de la sécurité informatique qu'il accorde libre accès aux équipes marketing et du service clientèle pour qu'elles puissent pénétrer de nouveaux marchés et de séduire de nouveaux clients (60 %) et améliorer la qualité du service client (80 %). En revanche, dans plus d'un tiers des cas (39 %), la sécurité de l'information est abandonnée à la seule responsabilité du responsable de sécurité informatique, au lieu d'être confiée aux employés qui y ont accès.

Le comportement à haut risque des professionnels du marketing

Pour ce qui est de la sécurité d'administration et de destruction des données de l'entreprise, il apparaît que les professionnels du marketing ont tendance, plus que n'importe quels autres employés, à adopter des comportements à haut risque[ii]..

En conséquence, il semble absolument nécessaire d'introduire des principes de protection et de responsabilisation vis-à-vis des données sensibles et confidentielles, assortis de directives et de formations appropriées.

Un comportement à haut risque consiste par exemple à emporter des informations sensibles en dehors du bureau pour travailler chez soi, ou à consulter des documents confidentiels dans les transports en commun. Or l'étude révèle qu'un professionnel du marketing sur trois (35 %) travaille à domicile deux à quatre fois par semaine, soit plus que pour aucun autre poste pris en compte, et que ce sont eux qui sont les plus susceptibles de travailler sur des dossiers sensibles au cours de leurs trajets en transports en communs (35 %). De tous les employés, les marketers sont ceux qui utilisent le plus volontiers leur boîte mail personnelle pour envoyer ou recevoir des documents de travail (48 %), parfois même les réseaux sans fil non sécurisés (12 %), et qui jettent négligemment des documents à la corbeille en dehors du bureau (28 %).

Marc Delhaie, PDG d'Iron Mountain France et Suisse, explique : « L'Indice 2014 de maturité de la gestion des risques pour l'information indique que les entreprises ont bien du mal à tirer le meilleur profit de leurs données et préserver en même temps la sécurité. Rendre les données accessibles aux fins d'analyse et de veille est certes essentiel pour favoriser la croissance de l'entreprise, mais il faut absolument que les employés qui utilisent ces données sachent comment les protéger. Notre étude des employés de bureau en Europe révèle qu'à peine un tiers des employeurs proposent un accès intranet sécurisé aux professionnels du marketing travaillant à distance. Il est impératif pour les entreprises qu'elles prennent toute la mesure du fossé qui se creuse entre la sécurité des données au bureau et à domicile, et qu'elles trouvent le moyen de le combler dans les meilleurs délais. »

L'indice 2014 de maturité de la gestion des risques pour l'information est la troisième édition de cette étude annuelle qui évalue le degré de préparation des entreprises à gérer leur exposition au risque et à réagir en conséquence. Pour cette étude, PwC a interrogé les dirigeants et cadres supérieurs de 600 entreprises européennes et 600 entreprises nord-américaines, entre 250 et 2 500 employés, ainsi que ceux de 600 grandes entreprises de moins de 100 000 personnes des deux continents, des secteurs des cabinets juridiques, des services financiers, des assurances, de la fabrication industrielle, du génie civil et de l'industrie pharmaceutique.

Author: "Iron Mountain et PwC" Tags: "Investigations"
Send by mail Print  Save  Delicious 
Date: Friday, 19 Sep 2014 08:47

Pour sa nouvelle participation aux Assises de la Sécurité, HP présentera son offre dédiée à la sécurité qui s'appuie aujourd'hui principalement sur HP Application Defender pour la protection des application et HP ArcSight Logger 6.0 sa solution de SIEM. Philippe Jouvellier, Responsable avant vente, division Enterprise Security Products chez HP estime que -Les applications – et aussi et surtout les applications mobiles – sont très majoritairement le talon d'Achille des systèmes d'information actuels.

Global Security Mag : Qu'allez-vous présenter à l'occasion des Assises de la Sécurité ?

Philippe Jouvellier : Nous allons présenter les nombreux aspects de notre offre de sécurité, tant en terme de Produits que de Services, avec en particulier un certain nombre de nouveautés annoncées ces dernières semaines. Parmi les plus significatives on peut citer notamment :

- HP Application Defender, le premier service de protection des applications en production, géré depuis le cloud, qui permet d'obtenir sans effort une visibilité très poussée dans le niveau de sécurité des application en exécution et de les protéger contre les attaques : "un rêve qui devient réalité" selon un analyste Gartner. HP Application Defender permet de protéger les applications en production sans devoir toucher au code. HP Application Defender opère depuis l'environnement d'exécution de l'application, ce qui lui permet de voir les actions des utilisateurs, les traitements de données, la logique métier : il peut donc facilement distinguer actions légitimes et attaques et réagir en temps réel. Avec une gestion dans le cloud, une pré configuration et sans besoin de modifier le code, HP Application Defender permet d'ajouter une nouvelle ligne de défense aux applications critiques avec un moindre d'effort.
- HP ArcSight Logger 6.0 qui sort le 22 Septembre prochain, avec de nouvelles fonctionnalités comme :
• Des recherches plus rapides
• 4 fois plus d'évènements par seconde traités
• Un stockage doublé passant de 4,2 TeraOctets à 8 TeraOctets
• Un cluster étendu, jusqu'à 20 Logger par cluster
• Une interface améliorée et remise au gout du jour
• Des fonctionnalités de recherches supplémentaires (Gestion des listes)
• En tout un stockage porté à 160 TeraOctets de données compressées (1120 TeraOctets brutes)
• Une application iOS pour visualiser Tableaux de bords et rapports

- La version HP ArcSight ESM 6.8c qui offre une optimisation automatique des règles de corrélation, des requêtes 1000x plus rapides, l'intégration de Web APIs, un stockage augmenté à 12 TeraOctets et une haute disponibilité

Par ailleurs, le partenariat technologique avec Guidance Software permet d'optimiser les investigations sur les incidents et la remédiations de ceux-ci.
- Pour HP ArcSight Express, on peut citer la sortie d'une virtual appliance SIEM All-In-One : installation facilitée et un seul package pour traiter la globalité de notre offre.

GS Mag : Quelle va être le thème de votre conférence cette année ?

Philippe Jouvellier : Notre conférence aura pour thème : « Organiser sa défense face aux organisations cybercriminelles » : Les atteintes à la sécurité des données font les gros titres de l'actualité en raison de l'importance des dégâts qu'ils occasionnent chez les clients, les marques, les employés et les actionnaires.
Pour éviter d'être victimes de cybermenaces, les RSSI doivent gérer en temps réel une sécurité dynamique.

Comment mettre en œuvre une politique efficace en 3 étapes ?
- comprendre la manière dont ces organisations cybercriminelles sont structurées,
- s'organiser avec des équipes et des processus adaptés,
- s'appuyer sur des technologies pour anticiper, détecter, et bloquer les menaces.

L'essor des technologies de sécurité venant en support aux organisations opérationnelles et l'intelligence dynamique embarquée, constituent les supports les plus efficaces pour lutter contre les nouvelles menaces.

GS Mag : Comment va évoluer votre offre pour 2014/2015 ?

Philippe Jouvellier : La sécurité représente une des quatre initiatives stratégiques du groupe HP, au même titre que le Cloud, la mobilité ou le Big Data. Sur ce dernier sujet, une synergie importante se développe avec notre offre sécurité qui évolue de manière à offrir des capacités supérieures à nos clients. L'offre actuelle permet d'agir de manière proactive, L'offre vers laquelle nous nous dirigeons permettra d'offrir des capacités prédictives en matière de supervision, de détection et de lutte contre les menaces informatiques. le big data et notre capacité à analyser une quantité importante de données en temps réel va faire la différence. HP concentre également ses efforts et ses développements dans le domaine de la recherche liée aux nouvelles menaces et aux nouvelles attaques. Les HP labs et le HP Threat Central – portail de suivi des menaces – constituent l'un des fers de lance de notre offre et de notre stratégie en matière de Cyber Défense.

GS Mag : Quelle sera votre stratégie commerciale pour 2014/2015 ?

Philippe Jouvellier : Notre stratégie commerciale consiste en une approche directe auprès des clients afin de promouvoir l'offre Enterprise Security Products, notamment autour des offres en fort développement telles que le SIEM ou la sécurité des applications. Cette démarche repose sur la force commerciale globale d'HP dans les différents segments de marché soutenue par une équipe de spécialistes sécurité. En parallèle, notre modèle de vente s'appuie sur un réseau de partenaires pour lequel nous sommes encore dans une phase de recrutement choisie. Le savoir-faire et l'effort de formation sont clés pour délivrer la qualité de prestation que nos clients attendent sur des solutions à forte valeur ajoutée. Nous sommes attachés à encourager ces efforts en préservant les marges et la place de chacun de nos partenaires par une politique de distribution maîtrisée.

GS Mag : Quel est votre message aux RSSI ?

Philippe Jouvellier : Nous leur adressons plusieurs messages :
- Se connaitre c'est aussi connaitre ses adversaires : les RSSI doivent savoir « qui est en face ». Nous voulons dire par là que les personnes, les groupes, les entités, et même les états nations qui se cachent derrière les attaques informatiques et qui constituent des menaces réellement dangereuses sont devenus de vrai professionnels. Ils sont compétents, motivés, ils ont des moyens très importants et se sont organisés pour créer et propager des menaces. Ce paramètre constitue l'un de changements fondamentaux de ces dernières années.
- Sans vision de l'activité « temps réel » il n'existe pas de moyens capacitaires pour détecter les risques et les menaces, pour surveiller les conformités et pour gérer les incidents.
- Les technologies qui embarquent de l'intelligence constituent des moyens réellement efficaces pour adopter une « posture dynamique » face aux risques. Les hackers ont changé leur approche, il faut faire évoluer les moyens de défense. La recherche et le développement en matière de sécurité sont l'enjeu actuel de la sécurité. Avoir de bonnes informations en temps et en heure permet d'anticiper et de limiter les risques
- Les applications – et aussi et surtout les applications mobiles – sont très majoritairement le talon d'Achille des systèmes d'information actuels. De très nombreuses applications sont développées avec des délais courts et omettent très souvent la sécurité dans le cahier des charges. En conséquence les attaques « au niveau de réseau » se sont déplacées dans les couches applicatives et au plus près de l'utilisateur. La conséquence est qu'il faut mettre une emphase particulière sur la vérification des codes applicatifs et sur la sensibilisation des utilisateurs face aux nouvelles menaces.

Author: "Marc Jacob" Tags: "Interviews, affiche, ASSISES2014"
Send by mail Print  Save  Delicious 
Date: Thursday, 18 Sep 2014 18:29

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut monter un système de fichiers UDF, pour provoquer une grande récursion de __udf_read_inode(), afin de mener un déni de service du noyau Linux.

Produits concernés : Linux

Gravité : 1/4

Date création : 15/09/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Le noyau Linux supporte les systèmes de fichiers UDF.

Cependant, la fonction __udf_read_inode() du fichier fs/udf/inode.c ne limite pas le nombre d'ICB, ce qui provoque un appel récursif non limité.

Un attaquant peut donc monter un système de fichiers UDF, pour provoquer une grande récursion de __udf_read_inode(), afin de mener un déni de service du noyau Linux.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/N...

Author: "Vigil@nce" Tags: "Vulnérabilités"
Send by mail Print  Save  Delicious 
Date: Thursday, 18 Sep 2014 16:23

Pour sa nouvelle participation aux Assises de la Sécurité, Kleverware fera plusieurs annonces tant au niveau de l'évolution de sa solution phare Kleverware IAG que de sa stratégie d'internationalisation. Son atelier permettra aux visiteurs d'écouter le retour d'expérience de M. Chahir ZRIBI (Responsable contrôle interne) de Generali France. Bertrand Augé, CEO de Kleverware aime à croire que le fameux dicton « La confiance n'empêche pas le contrôle » sera un jour adopté par tous !

Global Security Mag : Qu'allez-vous présenter à l'occasion des Assises de la Sécurité ?

Bertrand Augé : Nous avons cette année plusieurs annonces que ce soit dans le domaine fonctionnel de notre solution (Kleverware IAG ndlr) que dans la stratégie d'internationalisation de Kleverware. Nous avons également le plaisir d'avoir un retour d'expérience de M. Chahir ZRIBI (Responsable contrôle interne) de Generali France lors de notre atelier du 1er octobre à 16h. Il déroulera son projet lui offrant une gouvernance claire des identités et des habilitations au sein de son entreprise.

GS Mag : Comment évolue votre marché ?

Bertrand Augé : Le marché est mature en France. Les personnes en charge de la sécurité, du contrôle ont bien conscience de l'apport d'une solution d'IAG (Identity & Access Governance), ce n'est pas le cas dans tous les pays européen, d'Afrique ou d'Asie. Il nous reste encore beaucoup de travail d'évangélisation pour des secteurs autres que la banque et l'assurance.

GS Mag : Comment va évoluer votre offre pour l'année 2014/2015 ?

Bertrand Augé : A la demande de nos clients (actuels ou futurs) notre offre s'est simplifiée. A ce jour nos clients apprécient le modèle évolutif de la commercialisation de Kleverware IAG. Nous continuons à travailler sur des évolutions fonctionnelles qui viennent de vrai besoin exprimé par les utilisateurs.

GS Mag : Quelle sera votre stratégie commerciale pour 2014/2015 ?

Bertrand Augé : Nous nous engageons de plus en plus vers une commercialisation indirecte (nouveau partenariat). Cela permet à Kleverware de mettre encore plus de moyens sur la R&D.; Nous continuons notre développement à l'international (annonce lors des assises de l'ouverture de notre bureau à …).

GS Mag : Quel est votre message aux RSSI ?

Bertrand Augé : « La confiance n'empêche pas le contrôle » j'aime à croire que ce dicton sera un jour adopté par tous. Même si aujourd'hui certain pense ne pas être impacté, les auditeurs et autres commissaires aux comptes vont bientôt les emmener vers une obligation de vérification des droits de plus en plus souvent.

Author: "Marc Jacob" Tags: "Interviews, affiche, ASSISES2014"
Send by mail Print  Save  Delicious 
Date: Thursday, 18 Sep 2014 16:03

Trend Micro dévoile son nouveau Programme Partenaires mondial Trend Micro™ Partner Program. Conçu pour doper la productivité et la rentabilité de plus de 50 000 partenaires Trend Micro dans le monde, ce programme permet de tirer pleinement profit des opportunités offertes par le marché des solutions de sécurité sur lequel évolue Trend Micro. En réunissant le meilleur de ses différents programmes nord-américains, Trend Micro offre désormais un nouveau programme unique à l'échelle internationale, dont le déploiement sera finalisé au premier trimestre 2015.

Les solutions de sécurité Trend Micro complètent la gamme de solutions de virtualisation et Cloud, d'infrastructures convergentes ou encore d'administration de la sécurité, déjà commercialisées par les revendeurs de Trend Micro. En associant les solutions de Trend Micro avec les produits et services de partenaires stratégiques tels que AWS, HP, IBM, Microsoft et VMware, les partenaires peuvent offrir davantage de valeur à leurs clients, et ainsi augmenter leur chiffre d'affaires et leurs marges.

Le programme de formation a été simplifié et intègre les dernières normes du secteur. Il se décline en deux niveaux de formation et de certification. Le nouveau portail de formation accélère l'intégration des partenaires et leur apporte tout le savoir-faire et les compétences nécessaires pour saisir de nouvelles opportunités commerciales et accompagner au mieux les clients finaux.

Afin de toujours mieux accompagner ses revendeurs, Trend Micro leur offre une large gamme d'outils commerciaux et marketing, via son Portail partenaire Trend Micro optimisé. Pour une expérience partenaire optimale, ce nouveau portail propose de nombreuses améliorations telles qu'un enregistrement des commandes, la syndication de contenus, l'accès aux réseaux sociaux, ainsi qu'un accès plus rapide à l'assistance technique.

Le Programme Partenaires Trend Micro présente également les caractéristiques suivantes :

- Une segmentation précise des partenaires et une structure plus claire des remises et rémunérations,

- 4 niveaux de certification des partenaires (Bronze, Silver, Gold et Platinum) et l'introduction d'un programme d'intéressement dédié aux partenaires xSP ainsi qu'aux apporteurs d'affaires,

- Une indemnisation pour les partenaires Gold et Platinum ayant fait preuve d'une forte implication dans le cadre de contrats n'ayant finalement pas été conclus, ainsi que des remises pour les partenaires Bronze ayant suivi une ou plusieurs spécialisations,

- Des équipes Trend Micro dédiées aux partenaires, formées aux normes, processus et mesures de performance, pour les aider à saisir toute nouvelle opportunité.

Le premier Global Partner Summit Trend Micro se tiendra du 21 au 23 octobre prochains à Las Vegas. Cet événement, sur invitation seulement, s'adresse aux dirigeants et commerciaux des principaux partenaires de Trend Micro. Il leur apportera la connaissance nécessaire pour capitaliser sur la demande croissante en faveur des solutions Trend Micro.

Author: "Marc Jacob" Tags: "Business"
Send by mail Print  Save  Delicious 
Date: Thursday, 18 Sep 2014 15:11

Brocade a annoncé cette semaine l'acquisition au comptant des solutions analytiques et de visibilité réseau de Vistapointe, entreprise privée disposant de bureaux aux Etats-Unis, en Irlande et en Inde. Les technologies Vistapointe reposent sur des solutions logicielles d'analyse et de visibilité du réseau pour des opérateurs mobiles qui adoptent les architectures Network Functions Virtualization (NFV).

Author: "Marc Jacob" Tags: "Business"
Send by mail Print  Save  Delicious 
Date: Thursday, 18 Sep 2014 14:08

Nexenta annonce avoir été retenu par Statigest, acteur français historique du développement de logiciel CRM depuis 30 ans, pour gérer l'ensemble de son infrastructure informatique. La solution SDS a permis de multiplier la capacité et les performances de l'infrastructure, améliorant considérablement la productivité et les niveaux de services de Statigest.

Créé en 1977, Statigest développe et commercialise des solutions CRM, ainsi que les applications associées pour la force de vente, en France, en Belgique, en Espagne et au Portugal. Avec plus de 5 000 utilisateurs quotidiens, l'infrastructure informatique joue un rôle critique pour l'entreprise. Dans un environnement composé d'Unix et de Windows, il devenait de plus en plus difficile de répondre à ces enjeux, notamment en raison du recours à de nombreux protocoles de services de fichiers (CIFS et NFS) différents. Statigest avait donc besoin d'une solution qui soit à la fois plus facile à gérer, capable d'augmenter sa capacité et d'améliorer les performances pour ses utilisateurs.

Après avoir évalué plusieurs systèmes, Statigest a choisi la solution SDS de Nexenta, NexentaStor, car elle prend en charge de nombreux protocoles, parmi lesquels CIFS, NFS, iSCSI, Fiber Channel et SATA. Cette souplesse permet à Statigest de mettre en œuvre un stockage hybride et d'améliore les fonctionnalités de l'environnement.

Author: "Marc Jacob" Tags: "Produits"
Send by mail Print  Save  Delicious 
Date: Thursday, 18 Sep 2014 14:03

Dragon NaturallySpeaking 13 Professional est un logiciel de reconnaissance vocale personnalisable, précis et rapide, pour toujours plus de productivité Boulogne-Billancourt – Jeudi 18 septembre 2014 – Nuance Communications, Inc. lance Dragon NaturallySpeaking 13 Professional pour Windows : le plus précis et rapide des logiciels de reconnaissance vocale pour l'entreprise. Il donne à tous les employés la possibilité d'utiliser leur voix pour interagir avec leur ordinateur, composer et modifier des documents, rédiger et envoyer des emails, effectuer des recherches en ligne, etc., que ce soit depuis le bureau ou en déplacement dans un but d'efficacité et d'optimisation du temps de travail mais aussi de confort.

Dragon NaturallySpeaking 13 Professional est conçu spécialement pour une infrastructure d'entreprise de telle sorte que les administrateurs IT puissent installer le logiciel, le gérer et le mettre à jour sur tous les ordinateurs de l'entreprise, de manière centralisée. Les commandes et lexiques personnalisés ou encore les profils et préférences des utilisateurs peuvent être stockés et synchronisés en un point central du réseau. Il est ainsi très simple d'y accéder, de les partager et de les utiliser, en toute sécurité.

Les vocabulaires personnalisables de Dragon NaturallySpeaking 13 permettent l'ajout en toute simplicité de termes et expressions spécifiques à la terminologie de l'entreprise (services financiers, sociaux, juridiques, etc.) pour une reconnaissance précise de ces mots. L'analyse de documents existants permet aussi de détecter des mots inconnus et de les intégrer dans le vocabulaire. Ces lexiques peuvent être centralisés et donc accessibles à tous les utilisateurs de l'entreprise. De plus, Dragon NaturallySpeaking 13 permet la création de commandes vocales personnalisées, notamment pour automatiser des procédures répétitives. Elles peuvent, elles aussi, être centralisées pour être utilisables par tous les utilisateurs.

Technologie accessible à tous les salariés, Dragon NaturallySpeaking 13 est une alternative confortable et ergonomique au clavier et à la souris, qui réduit la fatigue et les douleurs au cou, au dos ou aux poignets. Parmi les nouvelles fonctionnalités de Dragon NaturallySpeaking 13 Professional :

 Précision accrue (14% par rapport à la version antérieure)

 Nouveau modèle acoustique pour prise en charge des microphones en champs lointains (pour une plus grande liberté de mouvement sans devoir porter de casque)

 Personnalisation supérieure et création de profils plus rapide (plus d'apprentissage)

 Détection et vérification des microphones connectés au poste de travail

 Contrôle vocal, au sein d'applications web populaires comme Gmail ou Yahoo ! Mail et Outlook.com dans les moteurs de recherche Chrome, Firefox et Internet Explorer

 Interface épurée et tutoriels de prise en main

- Disponibilité

La version française de Dragon NaturallySpeaking 13 Professional est disponible dès à la livraison et au téléchargement au prix de 699 € TTC prix public conseillé, sur le site de Nuance et auprès des revendeurs du réseau mondial de Nuance, des vendeurs de logiciels et des enseignes spécialisées dans la vente aux entreprises.

Author: "Marc Jacob" Tags: "Produits"
Send by mail Print  Save  Delicious 
Date: Thursday, 18 Sep 2014 12:22

En primeur du nouveau Colloque organisé par la Chaire de Cyberdéfense et Cybersécurité sur le thème de la « sécurité l'internet des objets » qui se déroulera le 19 septembre, Daniel Ventre titulaire de cette Chaire, Christian Rivierre Directeur du domaine d'activité ingénierie des Systèmes logiciels au sein de Thales et Didier Apell, Directeur de l'offre cybersécurité de Sogeti High Tech ont présenter leur vision des problèmes et solutions engendrés par l'avènement de ces objets qui envahissent notre quotidien. Ainsi, pour eux la sécurité de ces objets et de leur déploiement doit être prise au sérieux et surtout intégrée dès leurs conceptions.

Ce premier colloque dédié à l'Internet des objets se déroulera en quatre partie : la première aura un caractère scientifique avec des présentation par des chercheurs en particulier de l'INRIA, de l'ENSEEIHT, du CNAM de Telecom ParisTech… la seconde partie mettra au centre les enjeux en termes de Défense nationale, puis les industriels feront part de leur vision et la conclusion potera sur les normes en ce domaine.

Daniel Ventre a rappelé que l'origine du terme Internet des Objets (IO) remonte au début des années 1990 et est américaine. C'est aussi un concept qui vient de la science fiction….

Que fait-on rentrer dans l'inter études objets ? Bien sûr, on trouve les téléphones, les ordinateurs, les réfrigérateurs, les pèses personnes, les montres.... c'est fait tout objets capables de communiquer. Ces technologies commencent à se diffuser au niveau de l'armée ce qui pose des questions de Cyberdéfense… Par exemple, les soldats utilisent des tablettes pour ce géolocaliser plutôt que de bonnes vielles cartes d'Etat major et une boussole…

Aux dires des industriels, des gouvernants… l'Internet des objets permettaient de résoudre tous « les problèmes de notre monde ! et même de relancer l'économie.... Ainsi, tout va devenir intelligent au niveau des objets, mais pas encore des hommes. Toutefois, il va falloir prendre en compte les problèmes de sécurité de ces objets intelligents... En effet, notre monde pourrait rapidement devenir un cauchemar si les pirates informatiques s'en mêlaient. Il va falloir sécuriser cet internet des objets et donc de plus en plus tracer les individus ! Certains pourraient dire que c'est le revers de la médaille de tout avancée technologique et dans tous les cas que c'est pour le bien des usagers... Selon Daniel Ventre, 2007/2008 note un tournant pour l'IO avec une implication du politique qui en a fait une priorité pour le relance économique. Ainsi, par exemple, Barak Obama a fait un discours sur l'importance de l'IO et en réponse a ceci la Chine a développé des villes spécialisées dans ces domaines afin de reprendre la main sur la 3ème génération. Ainsi, elle a même conclu des accords avec le Japon pour développer plus rapidement ces technologies. Pour l'instant il semble que la plus part des objets connectes se trouvent en Europe et aux USA. Dans un autre registre, selon lui, en matière de défense l'IO est un véritable cauchemar au même titre que l'ont été les réseaux sociaux. La question aujourd'hui est de savoir ce que l'IO va transformer dans la guerre ?

Dans tous les cas, il faut penser au résultat désire lors d'un piratage d'un objet. Par exemple que peut apporter le piratage d'un réfrigérateur ? De même, quel serait l'objectif du piratage d'une montre ou dans une ville du système de parking pour les automobilistes ? Il a en outre évoqué les problèmes de responsabilités qui se posent. Par exemple, lors d'une attaque d'un réfrigérateur qui servira de machine de rebond qui est responsable son possesseur, le fabriquant, le poseur des réseaux.... ?

L'internet des objets, oui mais sans sécurisation des systèmes

Selon Christian Rivierre la technologie permet de mettre de plus en plus de connexion dans tous les objets, les réseaux sont de plus en plus interconnecte enfin les grands de l'Internet pousse pour offrir de plus en plus de services via les réseaux.

Aujourd'hui, les militaires sont aussi très connectés via des tablettes, de même dans les activités civiles des centaines d'objets sont connectés, comme par exemple dans un avion des objets sont connectés tant dans la cabine de pilotage que dans l'espace réservé aux voyageurs, sans compter bien sur les aiguilleurs du ciel qui utilisent des objets connectés. Il a rappelé que Thales fourni des systèmes pour tous ces usages en incluant de la sécurité en fonction de la criticité des systèmes. Ceci induit entre autre des problématiques d'authentification, de sûreté de fonctionnement, de résilience et de traçabilité.

Pour lui, le sujet des objets connectes est lié a celui du Big Data. L'IO ouvre des champs d'utilisation extraordinaire mais pas sans la sécurisation dans la façon de concevoir les systèmes. La sécurité doit être pensée en amont et pas après coup.

Dans l'industrie, la sécurité doit rimer avec sécurité de fonctionnement

Didier Apell explique pour sa part que les objets connectés existent depuis longtemps comme par exemple un téléphone. La grande différence, c'est qu'aujourd'hui, on veut faire connecter des objets qui n'ont pas vocation à l'être comme par exemple un réfrigérateur. Cette mode provient du fait que tous les industriels pour vendre plus de produits ont imaginé de connecter toute sorte d'objets. Bien sûr, le problème de la sécurité s'est fait jour. Pour lui, ce nouveau monde interconnecté n'est pas si « cauchemardesque » que cela. Certes on rencontre deux problèmes le sabotage surtout pour les Systems industriels et de transports par exemple et le vol de la donnée personnelle pour les particuliers et les entreprises. Pour y répondre le législateur en France a promulgué la LPM pour les industriels c'est la pression de la concurrence couplée a celle des clients qui ont peur des problèmes de sécurité.

Toutefois, pour rendre la sécurisation de ces objets efficace, il faut prendre en compte les contraintes opérationnelles et la sûreté de fonctionnement. Les industriels actuellement prendre la mesure de nouvelles solutions de sécurisations de leurs systèmes en mettant des niveaux adaptés aux usages. Par exemple, donner un téléphone à un jeune qui fait confiance par défaut à son outil peut paraitre dangereux sans l'intégration d'un système de sécurité... Dans un avion, on ne peut pas mettre à jour les antivirus à base de signature ou dans une centrale atomique, il est impossible d'éteindre un ordinateurs, ou encore demander un monde passe pour prendre un extincteur dans une usine est une gageure. Les industriels ont bien conscience qu'il faut prendre en compte la sûreté de fonctionnement dans les systèmes et donc qu'il est nécessaire de réadapter les systèmes de sécurité nécessaire.

Pour lui les industriels montent en compétence en ce domaine. Toutefois, cela prendra du temps de mise en œuvre et de déploiement. Il faut espérer que les pirates informatiques n'aient pas la mauvaise idée de s'acharner contre ses réseaux….

Author: "Marc Jacob" Tags: "Investigations, affiche"
Send by mail Print  Save  Delicious 
Date: Thursday, 18 Sep 2014 12:05

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut provoquer un Cross Site Request Forgery de WordPress WP RSS Multi Importer, afin de forcer la victime à effectuer des opérations.

Produits concernés : WordPress Plugins

Gravité : 2/4

Date création : 03/09/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Le plugin WP RSS Multi Importer peut être installé sur WordPress.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de WordPress WP RSS Multi Importer, afin de forcer la victime à effectuer des opérations.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/W...

Author: "Vigil@nce" Tags: "Vulnérabilités"
Send by mail Print  Save  Delicious 
Date: Thursday, 18 Sep 2014 12:03

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut provoquer un Cross Site Request Forgery de WordPress Ready Ecommerce, afin de forcer la victime à effectuer des opérations.

Produits concernés : WordPress Plugins

Gravité : 2/4

Date création : 03/09/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Le plugin Ready Ecommerce peut être installé sur WordPress.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de WordPress Ready Ecommerce, afin de forcer la victime à effectuer des opérations.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/W...

Author: "Vigil@nce" Tags: "Vulnérabilités"
Send by mail Print  Save  Delicious 
Date: Thursday, 18 Sep 2014 12:02

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut provoquer un Cross Site Request Forgery de WordPress Ready Google Maps, afin de forcer la victime à effectuer des opérations.

Produits concernés : WordPress Plugins

Gravité : 2/4

Date création : 03/09/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Le plugin Ready Google Maps peut être installé sur WordPress.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de WordPress Ready Google Maps, afin de forcer la victime à effectuer des opérations.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/W...

Author: "Vigil@nce" Tags: "Vulnérabilités"
Send by mail Print  Save  Delicious 
Date: Thursday, 18 Sep 2014 12:01

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut provoquer un Cross Site Request Forgery de WordPress Contact Form, afin de forcer la victime à effectuer des opérations.

Produits concernés : WordPress Plugins

Gravité : 2/4

Date création : 03/09/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Le plugin Contact Form peut être installé sur WordPress.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de WordPress Contact Form, afin de forcer la victime à effectuer des opérations.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/W...

Author: "Vigil@nce" Tags: "Vulnérabilités"
Send by mail Print  Save  Delicious 
Date: Thursday, 18 Sep 2014 12:00

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut provoquer un Cross Site Request Forgery de WordPress Ready Coming Soon, afin de forcer la victime à effectuer des opérations.

Produits concernés : WordPress Plugins

Gravité : 2/4

Date création : 03/09/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Le plugin Ready Coming Soon peut être installé sur WordPress.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de WordPress Ready Coming Soon, afin de forcer la victime à effectuer des opérations.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/W...

Author: "Vigil@nce" Tags: "Vulnérabilités"
Send by mail Print  Save  Delicious 
Date: Thursday, 18 Sep 2014 11:59

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut provoquer un Cross Site Scripting de WordPress WP Photo Album Plus, afin d'exécuter du code JavaScript dans le contexte du site web.

Produits concernés : WordPress Plugins

Gravité : 2/4

Date création : 03/09/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Le plugin WP Photo Album Plus peut être installé sur WordPress.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de WordPress WP Photo Album Plus, afin d'exécuter du code JavaScript dans le contexte du site web.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/W...

Author: "Vigil@nce" Tags: "Vulnérabilités"
Send by mail Print  Save  Delicious 
Date: Thursday, 18 Sep 2014 11:58

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut utiliser download.php de WordPress NativeChurch, afin d'obtenir des informations sensibles.

Produits concernés : WordPress Plugins

Gravité : 2/4

Date création : 03/09/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Le thème NativeChurch peut être installé sur WordPress.

Cependant, un attaquant peut utiliser download.php pour lire un fichier.

Un attaquant peut donc utiliser download.php de WordPress NativeChurch, afin d'obtenir des informations sensibles.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/W...

Author: "Vigil@nce" Tags: "Vulnérabilités"
Send by mail Print  Save  Delicious 
Date: Thursday, 18 Sep 2014 11:56

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut forcer la lecture à une adresse invalide via SO_KEEPALIVE sur le noyau Linux, afin de mener un déni de service.

Produits concernés : Linux

Gravité : 1/4

Date création : 15/09/2014

DESCRIPTION DE LA VULNÉRABILITÉ

La fonction setsockopt() définit les options d'une socket.

L'option SO_KEEPALIVE permet de maintenir une session active. Cependant, le fichier net/core/sock.c ne vérifie pas si la socket est de type SOCK_STREAM, donc le noyau cherche à lire une zone mémoire qui n'est pas accessible, ce qui provoque une erreur fatale.

Un attaquant peut donc forcer la lecture à une adresse invalide via SO_KEEPALIVE sur le noyau Linux, afin de mener un déni de service.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/N...

Author: "Vigil@nce" Tags: "Vulnérabilités"
Send by mail Print  Save  Delicious 
Date: Thursday, 18 Sep 2014 11:56

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut provoquer un Cross Site Request Forgery de WordPress Easy Media Gallery, afin de forcer la victime à effectuer des opérations.

Produits concernés : WordPress Plugins

Gravité : 2/4

Date création : 03/09/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Le plugin Easy Media Gallery peut être installé sur WordPress.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de WordPress Easy Media Gallery, afin de forcer la victime à effectuer des opérations.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/W...

Author: "Vigil@nce" Tags: "Vulnérabilités"
Send by mail Print  Save  Delicious 
Date: Thursday, 18 Sep 2014 11:01

D-Link a développé sa gamme de vidéosurveillance avec une caméra à dôme fixe extérieure et à vision nocturne couleur, permettant de répondre aux besoins de sécurité des entreprises. Le lancement de la caméra D-Link à dôme HD fixe extérieure et à vision nocturne couleur (DCS-6315) répond aux tendances internationales prévues par IHS Technology[1], qui a annoncé que le marché mondial de la vidéosurveillance allait connaître une augmentation de plus de 12 % cette année.

Cette caméra est la première caméra dôme extérieure jour/nuit à vision nocturne couleur de D-Link, idéale pour les entreprises souhaitant que leurs locaux soient protégés par un système de sécurité fonctionnant 24h/24. Équipée de la technologie LowLight+ et d'un éclairage infrarouge, la caméra offre une performance remarquable lui permettant de capturer des images offrant une très grande fidélité des couleurs, cela même dans des conditions d'éclairage très faible et jusqu'à 15 mètres dans l'obscurité totale grâce à l'éclairage infrarouge.

Selon le dernier livre blanc « Trends for 2014 - Video Surveillance Trends for the Year Ahead » d'IHS Technology, la plupart des demandes du marché sont axées sur les caméras à dôme fixes. La nouvelle caméra de D-Link offre tous les avantages qu'une entreprise attend d'une caméra à dôme fixe et plus encore. Son design compact en fait la caméra idéale pour une installation facile et une surveillance discrète. Pour faire face aux conditions extérieures difficiles, la caméra est placée dans un boîtier inviolable robuste (certifié conforme à la norme IK10) et étanche (certifié conforme à la norme IP68), la protégeant du vandalisme et des conditions climatiques extrêmes, comme des vents violents ou des pluies diluviennes.

Le capteur d'image à un mégapixel permet aux utilisateurs d'enregistrer des vidéos haute résolution, jusqu'à 720p HD, leur garantissant des images détaillées. La caméra s'adapte aux conditions d'éclairage difficiles, telles que le soleil de midi ou une couverture nuageuse épaisse, au moyen de la technologie intégrée Wide Dynamic Range (WDR), en capturant des images nettes là où beaucoup d'autres caméras rencontreraient des difficultés.

La caméra est également dotée de fonctions audio bidirectionnelles permettant au personnel en charge de la sécurité de mettre en garde les intrus ou les vandales ou de l'utiliser comme système d'enregistrement. Un lecteur de carte microSD est disponible pour une utilisation de stockage local annexe des données de la caméra et une continuité de l'enregistrement dans le cas d'une défaillance du réseau.

Cette caméra est disponible au prix public maximum conseillé TTC de 807.60€

Author: "Marc Jacob" Tags: "Produits"
Send by mail Print  Save  Delicious 
Next page
» You can also retrieve older items : Read
» © All content and copyrights belong to their respective authors.«
» © FeedShow - Online RSS Feeds Reader