Sécurité - Un certificat SSL volé vise Google Des pirates ont obtenu un certificat numérique valide pour n'importe quels services de Google à partir d'un fournisseur de certificats néerlandais a expliqué un chercheur en sécurité. Google a indiqué que les utilisateurs iraniens seraient les principales cibles. Un chercheur en sécurité a indiqué qu'un certificat d'authentification pour les sites Google a été volé et probablement utilisé. Des pirates peuvent utiliser ce certificat pour conduire des attaques de type « man-in-the-middle » ciblant les utilisateurs de Gmail, le moteur de recherche de Google ou tout autre service exploité par la firme de Mountain View. « C'est un carton d'invitation pour tous les sites de Google », résume Roel Schouwenberg, chercheur sur les malware chez Kaspersky Lab. Les attaques « Man in the middle » pourraient également être lancées au moyen de spam avec des liens menant sur un site qui ressemble au vrai Gmail. Un Etat derrière ce vol ? Illustration: preuve du certificat sur pastbin Crédit Photo: D.R
Sécurité du SI - ITIL ou ISO 27001 : que privilégier ? Il est désormais impossible de parler sérieusement de sécurité de l’information sans parler de processus. Mais un processus, ça ne s’invente pas du jour au lendemain. Deux approches se sont alors imposées au cours de la dernière décennie : la norme ISO 27001 pour la sécurité du système d’information, et ITIL (IT Infrastructure Library) pour les services informatiques (avec sa version certifiante ISO 20000). Et il ne s’agit pas d’un effet de mode : certaines solutions de sécurité populaires ont probablement été conçues et mises sur le marché en bien moins de temps qu’il n’a fallu pour accoucher de ces deux normes ! ITIL et ISO 27001 sont donc là pour rester, mais peuvent-elles cohabiter ? Sont-elles même complémentaires, ou bien redondantes ? ITIL serait donc à mettre en oeuvre avant ISO ? Et ensuite parce que ITIL recense, via sa CMDB, les ressources informatiques de l’entreprise. En pratique, cependant, cela peut-être l’inverse. « Cela dépend vraiment du métier de l’entreprise.
A VOIR ! Peur du piratage ? Effacer ses traces sur le Web Afin d’échapper aux intrusions informatiques, espionnages numériques, filtrages et autres flicages, voici un guide qui donne des parades aux citoyens paranos ou ayant des choses à se reprocher. Et si la vidéo ci-dessous d’une heure vous semble trop longue, je vous ai fait un résumé par écrit. La sécurité sur toutes les couches Dans la vidéo : Ce qu’il faut savoir 0’00 » : Introduction 2’44 » : La sécurité par couche (matériel, système d’exploitation, logiciel) 16’19 » : Cryptez vos données 25’35 » : Adresses IP, mots de passe & cie : comment fonctionnent les réseaux informatiques Après la théorie, la pratique 34’27 » : Comment s’équiper pour démarrer 43’36 » : Les outils de chiffrement 46’58 » : Naviguer en proxy : utiliser le réseau Tor pour masquer son identité 53’09 » : Chatter dans l’anonymat avec le réseau IRC 55’38 » : Bitcoin, la monnaie privée du net 56’57 » : Freenet, un réseau parallèle à l’Internet mondial Commençons par un peu de théorie. le matériel ; le système d’exploitation ;
Assises de la Sécurité 2011 : La sécurité du cloud de l'appréhension à l'intégration La question de la sécurité du cloud est toujours importante, mais l'heure n'est plus aux hésitations, mais bien à l'intégration d'outils ou de solutions pour tirer bénéfice de cette branche de l'informatique. Sécurisation de l'hyperviseur, chiffrement des données, utilisation de liens sécurisés, etc. Parmi les nombreux sujets abordés aux assises de la sécurité, le cloud computing est devenu depuis quelques années une problématique récurrente. Les hyperviseurs deviennent une cible privilégiée Les hyperviseurs concentrent beaucoup l'attention des constructeurs et des équipementiers. Juniper est sur la même longueur d'onde.
Sécurité des données : quels droits ? quelles obligations ? Contributions Paroles d'experts La sécurité des données est déjà encadrée depuis plusieurs années aux titres, notamment, de la Loi Informatique et Libertés, du Secret-Défense ou d'infractions connexes. Une nouvelle réglementation, voulue plus répressive et étendue, est envisagée. Mais le remède pourrait être pire que le mal. Les entreprises qui possèdent des systèmes d'information toujours plus ouverts sur les réseaux publics comme internet sont victimes quasi quotidiennement de tentatives d'intrusion. Ainsi, lorsque les données détenues se rapportent à des personnes physiques, la loi informatique et libertés du 6 janvier 1978 impose au responsable du traitement une obligation générale de sécurité des données qu'il conserve. En dehors de législations spécifiques, c'est à l'entreprise de veiller à la confidentialité de ses données, sans qu'elle ne supporte, en la matière, de véritable obligation. La protection pénale contre l'atteinte aux données
Les systèmes à clé publiques Avril 2014 le principe du chiffrement à clé publique Le principe de chiffrement asymétrique (appelé aussi chiffrement à clés publiques) est apparu en 1976, avec la publication d'un ouvrage sur la cryptographie par Whitfield Diffie et Martin Hellman. Dans un cryptosystème asymétrique (ou cryptosystème à clés publiques), les clés existent par paires (le terme de bi-clés est généralement employé) : Une clé publique pour le chiffrement ; Une clé secrète pour le déchiffrement. Ainsi, dans un système de chiffrement à clé publique, les utilisateurs choisissent une clé aléatoire qu'ils sont seuls à connaître (il s'agit de la clé privée). Lorsqu'un utilisateur désire envoyer un message à un autre utilisateur, il lui suffit de chiffrer le message à envoyer au moyen de la clé publique du destinataire (qu'il trouvera par exemple dans un serveur de clés tel qu'un annuaire LDAP). Avantages et inconvénients A voir également Communautés d'assistance et de conseils.
Tout sur le tunnel Ipsec Cet article présente le fonctionnement du protocole IPsec, qui permet de créer des réseaux privés virtuels de manière conforme aux spécifications de l’IETF. Les services offerts par IPsec et leurs limitations y sont détaillés, de même que les problèmes d’interopérabilité, tant avec d’autres protocoles qu’entre applications différentes. Enfin, quelques implémentations sont présentées, et un rapide aperçu de leur conformité aux standards est donné. 1 – Introduction au protocole IPSec Le protocole IPsec est l’une des méthodes permettant de créer des VPN (réseaux privés virtuels), c’est-à-dire de relier entre eux des systèmes informatiques de manière sûre en s’appuyant sur un réseau existant, lui-même considéré comme non sécurisé. IPsec présente en outre l’intérêt d’être une solution évolutive, puisque les algorithmes de chiffrement et d’authentification à proprement parler sont spécifiés séparément du protocole lui-même. 2 – Les services offerts par IPsec 2.1 – Les deux modes d’échange IPsec
Assises de la sécurité 2011 : les menaces font évoluer le métier de RSSI Lors de l'évènement monégasque, il a finalement été moins questions des différents types d'intrusions ou de menaces, que de l'évolution du métier de RSSI ou de DSI devant la gestion des risques. Le directeur général de l'Anssi a tancé ces derniers en leur demandant de respecter les besoins fondamentaux. Les 11ème Assises de la sécurité se sont terminées avec finalement beaucoup de discussions sur les politiques et les solutions de sécurité plus que sur les menaces en elles-mêmes. Les DDOS ciblent les datacenters Même les attaques par déni de service ciblent de plus en plus les datacenters, un atelier animé par Vincent Maurin, responsable produits et services au sein de la division sécurité d'Orange Business Service a donné quelques chiffres sur l'été 2011 (juin-juillet-août) sur les attaques possibles sur le réseau de l'opérateur (cela ne reflète pas ce qui impacte le client ).
Livres Blancs sur Programmez.com Livres Blancs | Page d'accueil des Livres Blancs Derniers Livres blancs mis en ligne Superviser le datacenter pour en garder le contrôle - hp et vmware simplifient la gestion des infrastructures convergentesCatégorie : Systèmes-Réseaux Superviser le DATACENTER pour en garder le contrôle Un nombre croissant d’activités dépendent de ressources placées dans le centre de données. Une gouvernance d’infrastructures mixtesL’automatisation permet des économies d’énergieUne industrialisation indispensable pour le cloud HP et VMware simplifient la gestion des infrastructures convergentes. HP OneView, intégré à VMware vCenter, permet aux administrateurs d’industrialiser les services grâce à de nouvelles interactions très simples incluant les serveurs, le stockage et le réseau depuis les représentations virtuelles et physiques de l’infrastructure. Un réel confort de travail pour l’administrateurOneView concrétise la stratégie Software Defined Datacenter d’HPConsulter le livre blanc Aperçu du projet Le Défi
A LIRE ! La fonction sécurité du SI à l’heure de la remise en question ::Sécurité L’approche est originale mais sans doute pertinente. Quoi de mieux, en effet, pour appréhender le rôle de la fonction sécurité du SI (SSI) dans l’entreprise de manière globale que d’interroger ceux qui se doivent d’avoir cette globalité d’approche, les responsables hiérarchiques des RSS et les dirigeants ? C’est la démarche retenue par le Cercle européen des RSSI. Le groupe de travail, qui a également consacré les 18 derniers mois à essayer d’y voir plus clair sur Une fonction reconnue Vers plus de poids dans l’organisation A lire entre les lignes, on est tenté de comprendre que la recherche du compromis semble s’être parfois historiquement faite au détriment de la SSI : «la fonction a permis d’identifier des sujets qui étaient sous estimés par rapport à l’analyse de risque.» Plus d'actualités et de tutoriels
[BE] Actualité "Informatique" parue dans les BE Comment gérer les périphériques mobiles d’une société sans mettre en danger la sécurité de ses données ? mercredi 1 juin 2011 Notre manière de travailler a changé. Les professionnels sont de plus en plus mobiles, tout comme leurs outils de travail (ordinateurs portables, Smartphones, iPad, etc.). Peut-on vraiment « parler de « Gestion de la mobilité » ou y-a-t-il une contradiction dans les termes mêmes ? Croissante et incontournable en effet, si l’on considère que : • D'ici 2015, il y aura pratiquement un périphérique mobile par être humain sur la planète. Le modèle d'informatique d'entreprise que nous avons connu pendant près de 50 ans n’est plus d’actualité. Alors, comment réagir ? Comment l'équipe informatique peut-elle envisager de gérer (puisqu'elle ne pourra pas le contrôler entièrement) ce basculement technologique ? Vous pouvez apporter à votre orientation de gestion informatique deux changements principaux, qui vous aideront à réagir rapidement face à la réalité du passage au mobile : • Ayez une approche de gestion du mobile complète. Comment faire ?