News WEB

Ecrire un commentaire
Le débat concernant la politique de Facebook en matière de vie privée semblait perdre de l'ampleur ces dernières semaines, après les mesures en série prises par le réseau social pour faciliter la prise de contrôle du compte par son utilisateur, et ainsi lui permettre de mieux gérer ses paramètres de confidentialité. Malheureusement, la polémique vient d'être relancée par le Wall Street Journal, qui évoque aujourd'hui une faille dans le réseau social qui permet à une dizaine d'applications très utilisées d'envoyer des informations personnelles à des sociétés tierces, évoluant principalement dans le secteur publicitaire.

En cause, un problème déjà évoqué il y a plusieurs mois et qui avait alors cours sur plusieurs réseaux sociaux : la transmission de l'ID de l'utilisateur via le "referrer" d'un lien hypertexte créé par certaines applications. Cet ID, qui se révèle être une suite de chiffres unique, se retrouve ainsi dans le lien exploité par certaines applications les plus utilisées du réseau, comme Farmille ou Texas HoldEm Poker de l'éditeur Zynga. "Une ID Facebook peut être partagée par inadvertance par le navigateur Internet ou par une application" a expliqué un porte-parole du réseau social. "La connaissance de l'ID d'un utilisateur ne permet pas d'accéder à ses informations privées" a-t-il néanmoins ajouté. Mais les informations laissées souvent publiques, comme l'année de naissance, le lieu de résidence ou le genre de la personne, restent accessibles par une simple recherche.

Le Wall Street Journal explique par ailleurs qu'il est possible que les développeurs des applications concernées par le problème n'avaient peut-être pas conscience de la situation : reste que la plupart d'entres elles ont tout de même transmis les fameuses ID à de nombreuses sociétés tierces : le journal, qui a mené une enquête approfondie, évoque à ce titre la société de collecte de données Rapleaf Inc. qui aurait massivement lié les ID Facebook récoltées à ses bases de données d'utilisateurs Internet, pour les revendre ensuite. La société se défend aujourd'hui d'avoir agit sciemment.

Face à cette nouvelle affaire, Facebook a annoncé travailler activement sur le problème et l'avoir déjà réglé partiellement, en collaboration avec les éditeurs d'applications en cause. "Nous avons pris des mesures immédiates pour désactiver toutes les applications qui violent nos conditions" a déclaré un porte-parole du réseau social.
Ecrire un commentaire
Il n'y aura pas de licence pour le projet d'implémentation Java open-source Harmony, selon le Register, qui a pu parler à une source proche du comité de gouvernance de Java.

Java est décidément très présent dans l'actualité. Il faut dire que malgré les tentatives d'Oracle, l'éditeur propriétaire du code Java, de rassurer la communauté ou d'assurer la pérennité de Java, beaucoup se posent encore des questions sur le futur du langage informatique. Notamment de ses implémentations open-source, qui n'ont pu que se sentir visées lorsque Oracle a attaqué Google et son projet Dalvik pour Android.

C'est donc une nouvelle mise en garde à l'égard du monde open-source : le projet Harmony n'obtiendra jamais de licence d'Oracle pour Java. Or c'est justement sur une sous-branche de ce projet sur lequel s'était basé Google pour développer son utilitaire de compatibilité sur Android, Dalvik.

Le Register rappelle que la politique d'Oracle est très claire : rentabiliser les technologies développées par Sun, racheté au début de l'année. Et dans le cas de Java, forcer les fabricants de téléphones mobiles à installer Java Mobile Edition (Java ME), et non un subside d'Harmony, basé sur l'édition standard de Java.
Ecrire un commentaire
Il reste moins de 5% de blocs d'adresses IPv4 non-alloués, selon Number Resource Organisation, l'autorité chargée de gérer les adresses IP et de les distribuer aux fournisseurs de noms de domaine.

A l'origine, 256 blocs étaient disponibles pour les adresses IPv4. Il en reste une douzaine, dont deux qui sont gérés par l'APNIC pour la région Asie-Pacifique. En clair : « si vous n'avez pas prévu de migrer vers l'IPv6, vous n'existerez pas dans le futur, » selon le directeur de NRO, Axel Pawlik. « Si vous ne vous réveillez pas et que vous ne faites pas quelque chose maintenant, vous en paierez les conséquences plus tard. »

Un message d'avertissement adressé aux fournisseurs de nom de domaine, qui vont subir de plein fouet la pénurie d'adresses IPv4. Il en restait 10% en janvier dernier, il n'y en a plus que 5% aujourd'hui. Certes, la baisse de leur nombre ralentit - ne serait-ce que parce que certains prennent les devants et passent à l'IPv6, qui offre bien plus de possibilités d'adresses libres - mais NRO estime qu'il n'y aura plus d'adresses IPv4 disponibles au début de l'année 2011. Et les autorités d'enregistrement de noms de domaines pourraient être à court en janvier 2012. Voire avant.

Chacun des douze blocs restants représente une capacité de 16 millions d'adresses. Définies dans les années 1980, les adresses IPv4 ne devraient pour autant jamais vraiment disparaître. « Il y aura toujours bien une machine qui aura besoin des deux, » explique Pawlik. Pour autant, la fin des distributions d'adresses IPv4 est attendue depuis longtemps, puisque les premiers appels à passer à des adresses à 128 bits - au lieu des 32 de l'IPv4 - datent d'il y a plus de dix ans. Et que la spécification de l'IPv6 a été publiée en 1995.
Ecrire un commentaire
« Beaucoup d'attaques ont encore une source inconnue. C'est de là qu'est partie notre réflexion. Des produits étaient totalement inefficaces face à certains types d'attaques. Ces Evasions permettent aux cybercriminels de délivrer du malware plus facilement mais aussi d'organiser des attaques via des exploits ou des attaques non détectées ». Voilà comment Ari Vänttinen, responsable marketing chez Stonesoft débute son propos.L'éditeur fait alors une démonstration des effets d'une attaque du ver Conficker sur Windows 2000 server SP1 mais également sur Windows XP. L'éditeur montre qu'en ne mettant pas à jour les logs de sécurité, le malware n'est pas détecté et encore moins bloqué. L'attaque utilise alors le port 445, plutôt connu pour servir de vecteur de diffusion… La solution de sécurité visée, ici de Palo Alto ne parvient pas à détecter la menace.

Pour l´éditeur finlandais, la plupart des équipements de sécurité ne sont pas capables de se protéger contre les attaques de type Evasion AET pour Advanced Evasion Techniques. Stonesoft a même signalé sa découverte au CERT finlandais, qui n'a fait que retranscrire l'information sur son site.

Reste à savoir si ce type d'attaque dynamique peut réellement parvenir à passer outre les mesures de sécurité mises en place. Le Cert-Fi ainsi que les laboratoires dé sécurité de Verizon mènent actuellement une enquête sur le sujet. Histoire d'en savoir un peu plus…
Ecrire un commentaire
En estimant le chiffre d'affaires réalisé par les services de musique en ligne, un cabinet estime que le futur de l'industrie musicale se trouve dans l'écoute en ligne via le streaming. Informa Telecoms et Media explique qu'avec 20 millions d'abonnés, un tel service pourrait dégager jusqu'à 77,7 millions d'euros de chiffre d'affaires.L'information reprise par l'agence de presse Reuters est le signe qu'un changement de mentalités pourrait s'opérer chez les diffuseurs de musique en ligne. En France, une des preuves de ce changement s'avère être l'alliance entre le site Deezer et Orange afin d'augmenter le nombre d'abonnements payants.

Reste pour autant à connaître la viabilité des modèles économiques basés sur l'écoute en ligne comme Spotify, Pandora ou Rhapsody. Ces types de services sont basés sur la publicité et le nombre d'abonnements payants. Pour autant, l'étude (payante) montre que leur rentabilité doit passer par des accords avec de grands opérateurs comme en suède entre TeliaSonera et Spotify…
Ecrire un commentaire
Après Facebook Connect, Y Connect ? A en croire le Wall Street Journal, le portail américain Yahoo! pourrait très prochainement dévoiler une stratégie similaire à celle du réseau social de Mark Zuckerberg pour générer du trafic supplémentaire vers ses services.

"Avec Y Connect, les utilisateurs pourront s'inscrire et se connecter à des sites en cliquant simplement sur un bouton Yahoo" explique le journal. A l'image de Facebook Connect, il serait ainsi possible d'utiliser son compte Yahoo! Pour s'inscrire rapidement sur des sites, partager des informations avec ses contacts ou encore partager du contenu via Yahoo! Pulse, le service remplaçant Yahoo! Profil.

S'il explique que Yahoo! a refusé de commenter ces informations qu'il tiendrait de "personnes proches du dossier" - le Wall Street Journal semble particulièrement sûr de lui. "En cas de succès, de telles connexions pourraient stimuler davantage l'activité sur les services de Yahoo! et aider l'entreprise a mieux cerner les intérêts des utilisateurs, et déterminer quelles annonces en ligne sont le plus susceptibles d'être efficace" explique le quotidien. Le marché de la publicité en ligne est en effet de plus en plus concurrentiel, Google et Facebook étant les principaux concurrents de Yahoo! sur ce point.

Le service, qui pourrait être annoncé officiellement dans le courant de l'automne, laisse néanmoins perplexe les analystes. Greg Sterling, qui occupe cette fonction chez Sterling Market Intelligence, explique que Yahoo! pourrait pâtir de son arrivée tardive dans un secteur déjà très largement investi par Facebook. Il estime cependant que le portail mené par Carol Bartz pourrait bénéficier d'un meilleur accueil que le réseau social dans certaines parties du globe, comme l'Asie, où Facebook est encore peu populaire. Également contacté par le WSJ, le réseau social de Mark Zuckerberg n'a pas souhaité commenter ces spéculations.
Ecrire un commentaire
L'Université américaine de North Florida annonce avoir été victime d'une faille de sécurité. Les données de 107 000 étudiants actuellement dans l'enceinte de l'école auraient été compromises. Des informations comme le nom ou le numéro de sécurité sociale (véritable sésame outre-Atlantique) seraient mises au jour.Selon l'Université, il s'agirait bien d'un hack puisque les personnes qui se sont introduites n'avaient aucune autorisation pour pénétrer dans les systèmes informatiques entre le 24 et le 29 septembre. C'est lors d'une opération de contrôle de sécurité de routine que les responsables des installations ont estimé qu'un ordinateur basé hors du territoire américain aurait servi à cette attaque.

Ce n'est pourtant pas la première fois que les institutions universitaires américaines sont touchées par de telles failles. Le site Computerworld rapporte même que 128 failles de ce type auraient été enregistrées dans les universités américaines depuis 2009… 1,7 millions d'enregistrements auraient ainsi été compromises.

Un chiffre effarant qui montre à quel point certains réseaux sont encore insuffisamment sécurisés. De même, le site explique que bien souvent, des travaux de sécurisation sont effectués… après la découverte ou l'utilisation d'une faille.
Ecrire un commentaire
Les barres wysiwyg sont très utiles pour la réalisation de projets webs. Ces barres sont très présentes dans les CMS. Bien sur, vous pouvez toujours insérer ces librairies dans vos projets PHP personnels.

Le site creativeFan propose 10 éditeurs de texte gratuits, qui se nomment :
- TinyMCE
- BlueShoes WYSIWYG Editor
- WYM Editor
- jHTML Area – jQuery WYSIWYG Editorjwysiwyg WYSIWYG jQuery PluginCKEditor
- Xinha
- NicEditWMD – What You See is What You Get Markdown EditorAmaya

Bien sur, il en existe d'autres qui ne sont pas cités car ces barres ont fusionnées avec des barres ci-dessus.

- 10 Easy To Use Free Online WYSIWYG Editors
Ecrire un commentaire
Ces dernières semaines, un ver appelé Stuxnet se serait attaqué à des réseaux de type SCADA. Ces infrastructures appelés Supervisory Control And Data Acquisition (télésurveillance et acquisition de données) seraient ainsi la cible d'une classe particulière de malwares. Une position qui n'est pas partagée par l'ensemble du monde de la sécurité.

Afin de mieux connaître l'origine, les spécifications, la portée et la dangerosité du ver Stuxnet. La rédaction de Clubic a décidé d'interroger plusieurs hauts responsables-experts en sécurité. Ils nous livrent leurs points de vue au sujet du malware. Interviews croisées.A propos d'une quelconque originalité du malware, Eugène Kaspersky, p-dg de l'éditeur d'antivirus du même nom explique : « Stuxnet n'a vraiment rien de nouveau. C'est seulement la première fois que ce type d'attaque est public ». En effet, dans la même veine que Stuxnet, on peut évoquer les attaques perpétrées par le ver Nachi en 2003 qui s'attaquait aux réseaux de distributeurs de billets ou encore le ver Zotob en 2005.

Par contre Eugène Kaspersky poursuit sa pensée : « D'un autre côté, je ne connais pas beaucoup de pays qui peuvent avoir les ressources en matière d'ingénieurs capables de développer ce type d'attaques. Ce n'est pas du ressort de tous même si je ne suis pas capable à l'heure actuelle d'identifier la source du malware ». Une position opposée de celle de Peter Tippett, vice président du département Technologies et Innovation de Verizon.Le responsable estime que le but du malware n'était pas forcément des installations critiques : « Il n'y a pas réellement eu d'attaques visant un pays en particulier. Il faut savoir que les Etats qui ont expliqué avoir été touchés par le virus comme l'Inde, l'Iran ou la Chine sont des endroits où les logiciels sont souvent piratés et où il y a de gros manques en matière de sécurité ».

Sur ce point, la communauté reste partagée. Stuxnet utiliserait, selon certains, 4 voire 5 failles 0-Day pour se propager. Il s'introduirait ensuite sur des postes insuffisamment sécurisés ou mis à jour. Question a donc été posée à Microsoft afin de savoir si ces défauts étaient des vecteurs critiques de propagation.Vinny Gullotto, directeur général du Microsoft Malware Protection Center confirme : « Que l'Inde soit le pays le plus touché par Stuxnet ne nous surprend pas. Ce type d'Etat est connu pour son manque de mises à jour de sécurité ». Sur le malware, il précise : « je pense que Stuxnet a pu être écrit par un script kiddy mais le plus important est de connaître quel travail collaboratif a été organisé en aval. Il faut des ressources nécessaires pour le faire se propager ».

La question de la nature et de la portée de Stuxnet n'est donc pas encore réglée. Une chose est pourtant certaine, elle a réveillé chez certains la peur de voir certaines infrastructures critiques (eau, électricité) tomber très rapidement. Un scénario qui montrerait combien les sociétés y sont dépendantes et à quel point, les réseaux y sont préparés… ou pas.
Ecrire un commentaire
Afin de faire un point sur l'adoption des Correspondants informatique et libertés (CIL) par les professionnels, le Clusif (Club de la sécurité de l'Information français) a tenu à faire un point d'étape. Les évolutions vont globalement dans le sens de l'adoption des bonnes pratiques par les entreprises.Les correspondants Informatique et libertés existent depuis 2004. Ils ont été créés afin de simplifier les formalités des entreprises par rapport à la Cnil et ainsi réduire leur risque juridique et financier en cas de mauvais usage des données personnelles. Une aide à la conformité qui permet donc d'adopter plus rapidement les bonnes règles de conduite.

Mathias Moulin, chef du service CIL au sein de la Cnil fait un point de la situation : « Le CIL n'est pas l'oeil de Moscou dans une société. Il est rattaché à la direction et communique régulièrement avec elle. Par contre, il n'est pas responsable d'une éventuelle mauvaise attitude du professionnel. En général il cumule les postes avec celui du DSI, du RSSI ou d'un juriste spécialisé ».

Afin d'évoquer l'essor de ces correspondants, le responsable explique également que la sphère politique s'est saisie de la question de la protection des données personnelles en entreprise. En effet, la proposition de loi Détraigne-Escoffier (actuellement sur le bureau de l'Assemblée nationale) vise notamment à rendre obligatoire un CIL si plus de 100 personnes ont accès à un fichier comportant des données informatiques personnelles.

Signe d'une adoption en progression, l'année 2008 a vu le nombre de CIL augmenter en particulier grâce aux cabinets d'huissiers et de notaires. Pour autant, si la France semble faire partie des bons élèves, d'autres pays européens n'adoptent pas encore la même posture. L'Allemagne a rendu obligatoire son utilisation, tout comme les Pays-bas ou Malte. Malgré cela, d'autres hésitent encore à multiplier ce type d'initiative rendant la coopération entre Etats européens parfois difficile.
LoadingChargement en cours