LApp Store est resté vulnérable pendant des mois, voire des années. 01net le 12/03/13 à 17h18 En juillet 2012, un développeur Google, Elie Bursztein, a notifié auprès d’Apple une série de failles de sécurité dans sa boutique applicative App Store.
Il a fallu attendre plus de six mois pour que la firme de Cupertino comble enfin ces différents trous de sécurité. Car la solution, en réalité, était simplissime : il suffisait d’activer le chiffrement HTTPS par défaut sur l’App Store. Et oui, aussi étrange que cela puisse paraître, avant le 21 janvier 2013, les transactions entre un terminal iOS et l’App Store n’étaient pas chiffrées. Sur son blog, il montre – lignes de code à l’appui - comment il arrive, par exemple, à voler le mot de passe de l’utilisateur. Dans cette vidéo, il montre par exemple comment il crée des fausses mises à jour sur un iPad : On peut regretter qu’Apple ait mis plus de six mois à colmater cette brèche. Apple travaille à corriger la faille d'iOS 6 menaçant votre iPhone 5. 01net le 15/02/13 à 19h11 Décidemment, Apple n’a pas de chance avec ses systèmes d’exploitation mobiles.
Il y a deux ans et demi, une faille dans iOS 4.1 permettait de déverrouiller un iPhone sans posséder le code de protection. Cette fois, c’est iOS 6 qui souffre d’une faille similaire. Elle permet notamment d'accéder à des données personnelles (contacts, photos...) stockées dans l'iPhone 5 et de passer des appels. Apple prenant très au sérieux les questions de sécurité de ses outils, a indiqué au blog All Things D que l'entreprise était au courant de ce problème et qu'elle fournirait un correctif lors d'une future mise à jour.
Sécurité : un protocole réseaux fragilise plus de 40 millions dappareils. 01net le 30/01/13 à 07h01 Il est intégré dans presque tout ce qui se branche sur un réseau, et pourtant c’est une vraie passoire : le protocole Universal Plug and Play (UPnP).
Inventé pour faciliter les connexions réseau à la maison, il est activé par défaut dans de nombreux appareils : routeurs, box ADSL, imprimantes réseaux, caméras IP, disques de stockage NAS, TV connectées, etc. Le problème, c’est que ce protocole – tel qu’il est souvent implémenté - est très vulnérable aux attaques de sécurité. C’est ce que montre une étude que viennent de publier les experts de la société Rapid 7. Pendant six mois, ils ont scanné la Toile pour analyser la présence de ce protocole.
Le Crédit Mutuel-CIC averti par la CNIL pour sa méga-faille de sécurité. 01net. le 02/07/12 à 18h07 La Cnil a considéré que la société Euro Information (filiale informatique du groupe Crédit mutuel-CIC) avait manqué à son obligation de garantir la sécurité et la confidentialité des données traitées et a, en conséquence, décidé de lui adresser un avertissement.
La décision, rendue publique sur son site, s'appuie sur la mise en évidence, suite à un contrôle de la Commission, que plus de 1,2 million de documents couverts par le secret bancaire étaient ainsi potentiellement accessibles aux salariés du groupe. Une situation qui aurait pu être évitée L'affaire avait été révélée le 28 décembre 2011 par la presse. La Cnil a contrôlé la sécurité informatique du Crédit mutuel-CIC. 01net. le 03/01/12 à 14h53 La Cnil a contrôlé la sécurité du système d'information du Crédit mutuel-CIC qui aurait été gravement prise en défaut, selon le Canard enchaîné daté du 28 décembre 2011.
Dès le lendemain de cette divulgation, la Commision précise avoir effectué deux contrôles : l'un à Strasbourg, chez Euro-Information, qui regroupe les structures informatiques du groupe mutualiste, et l'autre à Woippy (Moselle) au siège du Républicain lorrain, quotidien appartenant aussi au groupe. Le problème aurait pour origine une faille ayant permis à des journalistes salariés du groupe bancaire, lequel détient de nombreux titres de presse régionale (l'Est républicain, le Républicain lorrain, les Dernières Nouvelles d'Alsace, etc.), d'accéder à des données de clients de la banque, via le système informatique et des logiciels de communication qui se trouvent être communs à toutes les entreprises du Crédit mutuel-CIC.
Une faille potentiellement répréhensible. Faille de sécurité sur les chats de Facebook. Skipfish, un outil gratuit pour tester la sécurité des sites web. 01net. le 22/03/10 à 15h15 Google vient de publier Skipfish, un logiciel de détection de failles consacré aux sites et aux services web.
Développé en langage C, cet outil exécute une série de tests de manière active, automatique et récursive sur les différentes pages web d'un site : injections SQL/XML, formats d'entrées, caching, attaques de cross-site scripting, etc. Le résultat de ces tests est ensuite affiché sous la forme d'un rapport. Les résultats des tests, publiés sous forme de rapport Par rapport aux solutions similaires existantes, telles que Nikto, Nmap ou Nessus, Google compte faire la différence grâce au niveau de performance. Traitement asynchrone et monothread Cette rapidité, Google l'explique, entre autres, par un traitement des données qui est multiplexé, asynchrone et monothread. Skipfish n'est pas une solution miracle pour autant. Un nouveau bug de sécurité dans Internet Explorer exploite le VBScript.
01net le 03/03/10 à 19h36 Nouvelle alerte de sécurité pour Internet Explorer.
Microsoft vient de confirmer l'existence d'une faille concernant potentiellement toutes les versions de son navigateur Internet.