Faille HeartBleed, une chance qu'OpenSSL soit un logiciel libre La faille dans OpenSSL est-elle une ombre au tableau du logiciel libre ? Pour l’April, une association de promotion du logiciel libre, cette conclusion ne pourrait déboucher que d’une « analyse trop rapide ». Pas question ici pour l’April d’éclipser les risques découlant de cette vulnérabilité. « L’impact de cette faille peut potentiellement être énorme » reconnaît ainsi l’association, qui ajoute aussi : « personne n'a jamais dit que le logiciel libre était infaillible ! Le libre a démontré ses atouts sur le logiciel "privatif" Mais pour l’April, la nature ouverte du code est justement ce qui a « permis de réduire considérablement l'impact de cette faille. » « Dans le cas de HeartBleed, c'est même l'analyse du code lui-même, en voulant y ajouter de nouvelles fonctionnalités, qui a permis la détection de l'erreur. Et pour elle, le cas HeartBleed est même une nouvelle illustration de ce qui fait la force du libre sur le logiciel propriétaire, qualifié ici de « privateur ». La sécurité ?
Sécurité entreprise données fonctions personnalités 01net. le 28/01/09 à 18h25 Qui sont les maillons faibles de la sécurité des données dans l'entreprise ? Ou plus exactement peut-on définir des personnalités et des fonctions ' à risque ' pour l'entreprise ? C'est la question qu'a posée Clavister, société suédoise spécialisée dans la sécurité, avec l'aide de l'institut britannique YouGov, à 212 responsables informatiques, directeurs télécoms et managers senior du secteur privé, au mois de septembre 2008. Fainéants, ambitieux, commerciaux et télétravailleurs Résultat, selon Clavister, les personnes ' à risque ' se trouveraient surtout chez les commerciaux, les administratifs, les personnes travaillant depuis leur domicile et les intérimaires. Ces résultats étonnent des spécialistes. ' On a coutume de dire que le plus grand danger du système d'information est entre la chaise et le clavier ! Tous potentiellement dangereux Quant à la fameuse assistante, elle peut aussi être une faille.
Faille de sécurité et responsabilité de l'entreprise On voit mal comment une entreprise peut aujourd’hui travailler sans faire appel à l’informatique. Or dans l’univers informatique les données peuvent être endommagées, détruites, perdues. C’est pourquoi tout professionnel doit procéder a minima à des mesures de sauvegarde et de sécurité de ses données. Il s’agit de mesures de gestion saine et d’anticipation des risques auxquelles tout dirigeant se doit de se conformer. Cette obligation est d’autant plus vraie que c’est l’entreprise qui met à la disposition de ses employés des moyens d’accès à des données à caractère personnel qui sont ensuite, via des outils informatiques, partagés en réseaux internes ou parfois via internet. C’est les cas par exemple des données sur les téléphones mobiles, les plateformes intranet, les bases de données clients partagées en réseaux entre les services / filiales. La responsabilité de l’entreprise A ce titre il est recommandé de : Par Yaël Cohen-Hadria, Avocate chez HAAS-Cabinet d’Avocats labellisé par la CNIL
L’intrusion dans un système informatique et ses conséquences juridiques. Il existe différents types de pirates informatiques : du hacker classique, qui s’introduit dans les systèmes par des moyens illégaux sans détruire les données ni utiliser les informations données, mais dans le seul but de faire savoir qu’il existe des failles de sécurité au cracher (casseur), appellation qui désigne le pirate le plus dangereux qui détruit dans un but précis ou pour le plaisir. Or, aux yeux de la loi, chacun d’entre eux peut être poursuivi au regard des dispositions du Code pénal en matière de fraude informatique. L’intrusion peut s’effectuer par le biais d’un programme qui se cache lui-même dans un programme « net » (par exemple reçu dans la boite aux lettres ou téléchargé). L’un des plus connus est le Back Office qui permet d’administrer l’ordinateur à distance. En outre, le piratage peut avoir comme cible les mots de passe du système. I. a) La responsabilité pénale i. Accès frauduleux Quid, pourtant, si le système n’est pas protégé ? Le maintien frauduleux ii. iii. b.
Pour une éthique de la révélation de faille de sécurité 1 La Commission européenne a lancé en juillet 2011 une consultation sur les règles pratiques de noti (...) 2 Par exemple, l’institution financière Morgan Stanley a envoyé par la poste aux services fiscaux de (...) 3 Deux clefs USB contenant les données d’identification non chiffrées de deux millions d’électeurs c (...) 4 En 2011, le réseau de Sony, PSN (PlayStation Network), a été victime d’attaques. Il s’agit d’un po (...) 1À l’heure actuelle, il ne se passe pas un jour sans que la presse relaie l’exploitation d’une faille de sécurité ayant eu pour conséquence l’accès à des données confidentielles ou la diffusion de données personnelles. La prise de conscience du risque de diffusion de données personnelles est récente, comme en témoignent les derniers projets européens visant à obliger les entreprises à informer les victimes et à verser de substantielles indemnités1. 3Un récent rapport parlementaire souligne d’ailleurs le problème : 1. 10 « 1. 2. 1. 17 Art. 226-16 et s. du Code pénal.
Faille de sécurité : avertissement public de la Cnil Faille de sécurité. La société DHL Express France vient de faire l’objet d’un avertissement public prononcé par la formation restreinte de la Cnil, le 12 juin dernier, sur deux manquements importants à la loi Informatique, fichiers et libertés. D’une part, un manquement à l’obligation d’assurer la confidentialité et la sécurité des données (art. 34 de la loi informatique et libertés) et d’autre part, un manquement à l’obligation de définir une durée de conservation des données traitées, proportionnée à la finalité du traitement (art. 6-5° de la loi informatique et libertés). Dans cette affaire, la Cnil avait été alertée suite à une faille affectant directement la sécurité des données collectées par DHL et comportant les demandes de « relivraison » des colis. Laure Landes-Gronowski Pauline Binelli-WaintropLexing Droit Informatique et libertés
Un espace du journal 20 minutes piraté Un espace du journal 20 minutes piraté Publié le 09-04-2014 à 13:26:05 dans le thème Réseau - Sécurité Pays : France - Auteur : Damien Bancal Pub : Tous les logiciels antiphishing gratuits disponibles sur Internet Mots de passe, identifiants de connexion, ... un pirate passe dans le serveur de l'espace Cuisine du journal 20 minutes. Le "curieux" explique avoir injecté un shell dans le serveur, comprenez une porte cachée qui lui donne la possibilité de faire un peu tout et n'importe quoi dans le serveur "Et il m'a suffi d'ouvrir le index.php pour trouver les identifiants de la base de donnée à entrer dans phpmyadmin" indique-t-il. Une méthode que nous réfutons. Nous vous conseillons de passer par le protocole d'alerte de zataz afin de permettre une correction efficace et une mise en relation , quand cela est possible. Tweet Derniers contenus Un espace du journal 20 minutes piraté 09-04-2014 à 13:26 - 0 commentaire(s) Sur le même thème : Réseau - Sécurité Histoire Belge
L'administrateur, bête noire pour la sécurité des IBM System i Si les System i d'IBM (ex-AS/400) ont longtemps joui d'une réputation de fiabilité à toute épreuve, ils sont de plus en plus vulnérables à des attaques du fait des pratiques de sécurité contestables de leurs administrateurs. Selon une étude portant sur 188 System i réalisée par le PowerTech Group, une société de sécurité de l'Etat de Washington, nombre d'entreprises n'ont pas assez de mécanismes de contrôle interne en place pour protéger les données sur leurs serveurs. Par exemple, 90% des systèmes audités n'avaient aucun contrôle en place pour prévenir ou auditer des modifications de données depuis un PC externe. 95% des systèmes disposaient au moins de 10 utilisateurs avec des droits d'accès administrateur et 43 % avait plus de 30 utilisateurs avec des droits "root". 77% des systèmes avaient aussi au moins 20 utilisateurs dont les mots de passe étaient les mêmes que leur login.
Administrateur réseaux Présentation L’administrateur systèmes et réseaux a pour mission d’offrir un réseau informatique de qualité à l’entreprise. Pour conduire des projets informatiques, administrer le réseau et apporter un support aux utilisateurs, il doit : Établir les exigences de performance du réseau ;Définir les projets d’extension, de modification du réseau ;Configurer et mettre à jour le matériel à intégrer au réseau ;Développer des tableaux de bord de performances du réseau ;Mettre en place et contrôler les procédures de sécurité (droits d’accès, mots de passe etc.) ;Apporter son aide aux utilisateurs sur un problème lié au réseau ;Prévenir les anomalies et les pannes de fonctionnement du réseau ;Faire de la veille technologique. Missions L'administrateur réseaux est l'homme-orchestre du système informatique d’une entreprise. En amont, il analyse les besoins des futurs utilisateurs en matière de qualité, de rapidité, de facilité d’accès et de sécurité.
Les technologies « finger printing » permettent de tourner la page du cookie ? Après l’affaire PRISM de l’été 2013 et la joute entre Google et la CNIL (Commission Nationale Informatique et Liberté) en France, la collecte et l’utilisation de données digitales personnelles ou anonymes sont des sujets qui suscitent des interrogations légitimes chez les consommateurs dans tous les pays. Pour les cookies, les temps sont durs. Ces fichiers s’apparentent à des logiciels espions installés directement dans les navigateurs et permettent à un annonceur, à l’éditeur d’un site internet ou bien à un prestataire publicitaire d’identifier de façon anonyme un internaute et de construire un profil plus ou moins détaillé de ce dernier sur la base des informations collectées. Le processus d’harmonisation de la réglementation européenne sur la protection des données personnelles est en marche. L’ensemble des acteurs du marché de la communication digitale et plus particulièrement les spécialistes de la publicité en ligne sont directement concernés par ces questions du moment.
Cour de cassation Demandeur(s) : la société Sanofi chimie Défendeur(s) : M. J… X… ; M. LA COUR DE CASSATION, CHAMBRE SOCIALE, a rendu l’arrêt suivant : Statuant sur le pourvoi formé par la société Sanofi chimie, société anonyme, contre l’arrêt rendu le 20 novembre 2007 par la cour d’appel d’Aix-en-Provence (18e chambre), dans le litige l’opposant : 1°/ à M. 2°/ à M. défendeurs à la cassation ; La demanderesse invoque, à l’appui de son pourvoi, les deux moyens de cassation annexés au présent arrêt ; Vu la communication faite au procureur général ; Sur le premier moyen : Et sur le second moyen : REJETTE le pourvoi ; Condamne la société Sanofi chimie aux dépens ; Vu l’article 700 du code de procédure civile, condamne la société Sanofi chimie à payer la somme globale de 2 500 euros à MM. Président : Mme Collomp Rapporteur : Mme Grivel Avocat général : M. Avocat(s) : SCP Gatineau et Fattaccini ; Me Blanc
Les profils Linkedin siphonnés par une armée de robots Crédit Photo: D.R Le réseau social professionnel a attaqué en justice une société qui utilise des robots pour collecter les profils des utilisateurs de Linkedin et ensuite les revendre. De même, une autre entreprise propose une extension pour navigateur qui dévoile les adresses mails des abonnés. En janvier, Linkedin a déposé une plainte contre X pour la création de faux profils pour pouvoir se connecter à des utilisateurs et siphonner leurs profils professionnels. Linkedin veut maintenant obtenir des dommages et intérêts de Shon Burton et HiringSolved, qui vend ses données entre 199 et 799 dollars à ses abonnés. Une extension très indiscrète Shon Burton s'est défendu en niant qu'il avait fait quelque chose de mal. « Je peux dire que nous ne croyons pas avoir quelque chose d'illégal. Ce système de collecte d'informations sur les profils semble se développer sur Linkedin.
Un administrateur condamné pour abus de privilèges AVRIL 2014 Depuis un arrêt célèbre (Arrêt Nikon du 2 octobre 2001) les tribunaux reconnaissent au salarié un droit d’usage personnel de l’outil informatique mis à sa disposition par son employeur. Ce droit est encadré de différentes manières et peut schématiquement se résumer ainsi : Tous les messages adressés ou reçus par le salarié dans sa boite aux lettres électronique sont présumés professionnels, sauf s’ils sont identifiés comme personnels. L’employeur ne peut pas avoir accès aux messages personnels, mais le salarié ne doit pas abuser du droit qui lui est reconnu, notamment en apposant systématiquement la mention « personnel » sur tous les messages qu’il émet. La Cour de Paris confirme ce jugement. La Cour vient rappeler cette évidence, en faisant coïncider (une fois n’est pas coutume) le bon sens, la morale … et le droit.
La NSA cherche à casser tous les cryptages avec un ordinateur quantique En fournissant près de 80 millions de dollars à l’Université du Maryland pour développer un ordinateur quantique capable de casser tous les codes de chiffrement, la NSA veut devenir un super Big Brother. Crédit D.R. L'agence d'espionnage américaine finance un projet d'ordinateur quantique capable de casser tous les systèmes de chiffrement, selon le Washington Post. L'Agence de sécurité nationale US tente de construire une nouvelle génération de super-ordinateurs qui pourrait théoriquement ne faire qu'une bouchée des systèmes de chiffrement actuellement utilisés pour sécuriser les communications numériques. Le projet de construire « un ordinateur quantique utilisable en cryptographie » fait partie d'un projet de recherche d'un montant de 80 millions de dollars baptisé « Penetrating Hard Targets » et localisé sur le campus de l'Université du Maryland, selon le Washington Post. L'informatique quantique fascine