background preloader

Veille technologique - Sécurité et réseaux

Facebook Twitter

Cisco aurait développé un nouvel OS réseau. Cisco aurait développé un nouvel OS réseau destiné aux… routeurs et switches vieillissants.

Cisco aurait développé un nouvel OS réseau

600 000 serveurs Web Microsoft IIS 6.0 menacés par un exploit zero day. Un code d’exploitation d’une faille de IIS 6.0 a été publié online – sur GitHub -, rendant les attaques à grande échelle contre cette version du serveur Web de Microsoft extrêmement probables.

600 000 serveurs Web Microsoft IIS 6.0 menacés par un exploit zero day

Le problème ? La vulnérabilité en question réside dans une mouture ancienne d’Internet Information Services, qui n’est plus supportée par Redmond même si elle est toujours largement déployée. Conclusion : Microsoft ne va pas patcher cette faille, puisque le support étendu pour cette version du serveur Web s’est arrêté en juillet 2015. Pour pousser le HTTPS, Google devient une autorité de certification racine. Après avoir incité les acteurs du Web à migrer vers le HTTPS – en favorisant le ranking des sites employant ce protocole -, Google met la main à la pâte.

Pour pousser le HTTPS, Google devient une autorité de certification racine

Mountain View ouvre en effet sa propre autorité de certification racine, conçue pour authentifier l’identité des sites Web et gérer les exigences des produits Google en matière de certificats SSL/TLS. Depuis quelque temps déjà, Google gère sa propre autorité de certification subordonnée (GIAG2). Mais, afin de pousser l’adoption du protocole HTTPS plus sécurisé que l’ancien HTTP, Google étend ses efforts pour renforcer la sécurité du Web avec la nouvelle autorité de certification racine, qui sera gérée par sa nouvelle division Google Trust Services. Le HTTPS protège une connexion Internet sur deux. Une prise de pouvoir définitive ?

Le HTTPS protège une connexion Internet sur deux

S’il est encore un peu tôt pour l’affirmer, HTTPS semble en tout cas bien parti pour dominer les connexions Web dans les mois et années qui viennent. Selon des données compilées par Mozilla, la version chiffrée du HTTP représente plus de 50 % des chargements de pages Web sur les deux dernières semaines (50,3 % précisément). Il y a trois mois de cela, Let’s Encrypt, l’autorité de certification gratuite, avait déjà mis en évidence le fait que le HTTPS avait dépassé le seuil de 50 % des pages Web sur une durée de 24 heures. Hypertext Transfer Protocol Secure (HTTPS) est un protocole de communication utilisé par les navigateurs et les sites Web fournissant l’authentification du site et du serveur Web associé. Il offre également un chiffrement bidirectionnel des données du navigateur réduisant considérablement la menace d’une attaque de type Man-in-the-middle.

Une faille dans Java et Python fragilise les firewalls. Deux chercheurs ont découvert une faiblesse de sécurité dans Java et Python.

Une faille dans Java et Python fragilise les firewalls

Le premier, Alexander Klink, a trouvé une faille dans la façon dont Java gère les liens FTP. Cloudflare : une coquille dans le code expose des données utilisateurs. Une erreur de frappe dans le code source d’un composant de CloudFlare a exposé des données personnelles d’utilisateurs de sites web utilisant les services de CloudFlare (CDN, sécurité…).

Cloudflare : une coquille dans le code expose des données utilisateurs

Les informations exposées comprennent aussi des éléments plus sensibles comme les cookies, les mots de passe, des token d’authentification, des requêtes HTTP, des clés de chiffrement, etc. Backdoors dans le chiffrement : la France et l’Allemagne insistent. Des backdoors dans le chiffrement, une idée enterrée ?

Backdoors dans le chiffrement : la France et l’Allemagne insistent

On aurait pu le croire après le Forum international de la cybersécurité de janvier dernier, Guillaume Poupard, le directeur général de l’Anssi, assurant alors que la tentation d’affaiblir le chiffrement pour les besoins de la lutte antiterroriste avait disparu. Pourtant, dans une lettre publiée par Politico et envoyée la semaine dernière, les ministres de l’Intérieur français et allemand, Bruno Le Roux et Thomas de Maizière, poussent la Commission européenne à introduire une nouvelle législation qui définirait « de nouvelles obligations à la charge des prestataires de services de communication par voie électronique tout en garantissant la fiabilité de systèmes hautement sécurisés ». Autrement dit, l’industrie pourrait être priée de résoudre la quadrature du cercle, en proposant des solutions de chiffrement à la fois sécurisées et offrant un accès à l’information en clair aux services de police en cas de besoin.

Adobe alerte sur une faille critique dans le chiffrement JSON. JSON est un nom récurrent dans l’informatique.

Adobe alerte sur une faille critique dans le chiffrement JSON

Acronyme de JavaScript Object Notation (soit notation objet issue de JavaScript), il s’agit d’un format léger d’échange de données. Le phishing aussi migre vers le HTTPS, grâce à Let’s Encrypt. Entre mars 2016 et mars 2017, Let’s Encrypt a émis 15 270 certificats SSL contenant le terme PayPal dans le nom de domaine ou dans l’identité du certificat.

Le phishing aussi migre vers le HTTPS, grâce à Let’s Encrypt

Mais 14 766 d’entre eux ont été émis pour des domaines hébergeant des services de phishing, si on se fie à une analyse menée sur un échantillon par Vincent Lynch, expert en chiffrement de l’autorité de certification The SSL Store. Ce résultat tend à confirmer certaines craintes d’experts en sécurité qui, dès 2015, redoutaient de voir l’initiative Let’s Encrypt, visant à offrir des certificats SSL gratuits, récupérée par les cybercriminels. Une faille zero day active corrigée en douce par Microsoft. Discrètement, Microsoft a corrigé une faille zero day utilisée par le groupe de cyber-espionnage nommé Zirconium.

Une faille zero day active corrigée en douce par Microsoft

Cette vulnérabilité, CVE-2017-0005, affecte le composant Windows Win32k dans le GDI (Graphics Device Interface) et touche toutes les versions du système d’exploitation Windows. A noter que malgré le ciblage sur le composant Windows Win32k, l’exploit utilisant la brèche contient du code ciblant l’architecture 64 bits. Selon Microsoft, une attaque s’appuyant sur cette faille entraîne une corruption de mémoire et une escalade des privilèges, donnant ainsi accès à la machine et à la capacité d’exécuter des codes avec privilèges de niveau administrateur. Apple corrige plus de 300 failles dans ses systèmes et applications. Hier, Apple a livré de nouvelles éditions de ses systèmes d’exploitation : iOS 10.3 et macOS Sierra 10.12.4. Mais aussi tvOS 10.2, watchOS 3.2 et macOS Server 5.3 (voir à ce propos notre précédent article : « Avec iOS 10.3, Apple bascule ses iPhone et iPad en APFS »).

Les corrections de failles de sécurité sont nombreuses pour chacun de ces produits. iOS 10.3 élimine ainsi 84 failles. L’Europe va proposer une législation affaiblissant le chiffrement. Après une initiative franco-allemande sur le sujet, après la volonté affichée du Royaume-Uni d’obtenir une collaboration plus poussée des éditeurs de messageries chiffrées, au tour de la Commission européenne de s’attaquer au chiffrement. Qualcomm donne le coup d’envoi de son offensive contre Intel dans les serveurs. Qualcomm est connu comme le numéro un mondial des puces mobiles. Le voilà au seuil d’un nouveau marché : celui des serveurs. Il démarre son offensive avec Centriq 2400, la première de sa gamme de puces Centriq dédiée aux équipements de datacenters. Pour le moment, elle n’est disponible qu’en échantillons pour test et validation par une sélection de clients potentiels.

Sa commercialisation en grands volumes débutera au second semestre 2017. Coeur de traitement maison Le numéro trois mondial des semi-conducteurs derrière Intel et Samsung est convaincu d’avoir une sérieuse carte à jouer en apportant aux serveurs les avantages en performances, consommation et coûts de son expérience dans les mobiles. SecNumCloud : le label de confiance de l’ANSSI, une réponse aux besoins conformité des entreprises ? Quand on parle de Cloud... Encore présent en 2015, le Cloud n’apparaît plus dans la nouvelle déclinaison de la courbe de Hype des technologies émergentes pour sa version de 2016. Toutefois, ce n’est pas parce qu’il n’y figure plus que le Cloud a disparu. Bien au contraire, le Cloud a fini d’émerger et constitue désormais une réalité de plus en plus prégnante pour les entreprises, grandes ou petites.

Le Cloud c’est quoi ? IBM propulse son service sécurisé de blockchain dans le cloud. IBM entend accélérer le développement des applications basées sur la blockchain, le protocole qui se trouve derrière la crypto-monnaie Bitcoin et qui a été conçu pour assurer la gestion de l'historique des transactions de manière décentralisée, sécurisée et infalsifiable.

Après une phase test de plusieurs mois, la firme américaine a annoncé, ce lundi 20 mars, la commercialisation d'IBM Blockchain, un logiciel blockchain en mode SaaS (Software as a Service). Disponible dans le cloud public, le nouveau service doit permettre aux entreprises tierces de déployer facilement des réseaux de blockchain sécurisés pour toutes sortes d'applications. Le service IBM Blockchain repose sur le projet open source Hyperledger Fabric, encadré par la fondation Linux. Dell EMC dispute à Hewlett Packard Entreprise et Cisco le leadership dans l’équipement du cloud. La fusion en septembre 2016 entre Dell et EMC rebat les cartes dans l’équipement du cloud. Les datacenters au cœur des préoccupations du monde informatique en 2017. De nouvelles tendances vont redéfinir l’infrastructure IT. Périphérie : un besoin de connectivité Si le datacenter continue de jouer un rôle décisif dans la distribution d’applications et de services (gestion des points de vente et des inventaires, par exemple), les armoires réseau et les microdatacenters gagnent en nombre et en importance avec la prolifération des capteurs et des appareils connectés, et à cause d’utilisateurs qui demandent un accès toujours plus rapide aux informations.

En réponse à ces changements, les entreprises vont se tourner vers des solutions de microdatacenter préconfigurées permettant un déploiement rapide, une plus grande standardisation et une surveillance à distance de l’ensemble des sites informatiques distribués. L'Allemagne veut la fibre partout d'ici 2025 - Actualités RT Fibre optique. Le 21/03/2016, par Didier Barathon, Fibre optique, 546 mots. Arista lance son routeur 7500R en se basant sur FlexRoute et Jericho - Actualités RT Réseaux. iOS 9 contourné par des hackers passant par le MDM.

Le 01/04/2016, par Lucian Constantin / IDG News Service (adapté par Didier Barathon), Sécurité, 443 mots. Cisco : Des failles critiques dans des routeurs VPN. Par Victor Miget, le 21 juin 2016 15:09.