Fermer le menu   

sécurité

Mise à jour de sécurité pour OS X Mavericks, Mountain Lion et Lion 22/04/2014 | 19:55 | Mickaël Bazoge | 10 commentaires

Après iOS 7.1.1 et la nouvelle version du logiciel de l'Apple TV), Apple poursuit son déploiement logiciel ce soir avec une mise à jour de sécurité pour Mavericks, Mountain Lion et OS X Lion.

La mise à jour de sécurité 2014-002 pour OS X Mavericks comprend également la version 7.0.3 de Safari, disponible en version autonome depuis le 2 avril (lire : Safari 7.0.3 améliore sa gestion des notifications dans Mavericks). Pour les déclinaisons destinées à OS X Lion et Mountain Lion, pas de changement pour Safari. Ces mises à jour sont, selon la formule consacrée, recommandées à tous les utilisateurs et améliorent la sécurité des systèmes d'exploitation. Elles sont à récupérer depuis la page Support du site d'Apple, ou directement depuis le Mac App Store.

Lire la suite

Apple : OS X et iOS non concernés par Heartbleed 10/04/2014 | 23:15 | Christophe Laporte | 13 commentaires

Dans un court communiqué, Apple a fait savoir que ses logiciels (iOS et OS X) ainsi que ses principaux services ne sont pas concernés par la faille Heartbleed. Rappelons qu’il s’agit d’une faille majeure d’OpenSSL, qui a été révélée au grand jour avant que les développeurs ne puissent la corriger (lire : Heartbleed : attention à cette méchante faille OpenSSL).

L’annonce d’Apple n’a rien de surprenant en soi, la firme de Cupertino utilise dans ses systèmes une version assez ancienne d’OpenSSL, qui n’était pas concernée par la faille.

Ce n’est pas parce qu’OS X et iOS ne sont pas concernés par cette faille que vous ne l’êtes pas. De nombreux services à commencer par ceux de Google, sont concernés par cette faille. Et dans ce genre de situation, il est vivement recommandé de changer ses mots de passe (lire : Heartbleed : des mots de passe à changer sur certains sites).

Heartbleed : des mots de passe à changer sur certains sites 10/04/2014 | 14:00 | Pierrick Aubert | 16 commentaires

Identifiants et numéros de carte bancaire, la faille Heartbleed semble avoir fait des ravages. Il est recommandé aux internautes de modifier leurs mots de passe pour de nombreux services en ligne (lire : Heartbleed : attention à cette méchante faille OpenSSL).

C'est l'une des plus grandes failles de chiffrement de l'histoire et les données de la plupart des grands sites internet sont menacées. Google, Facebook, Tumblr, Yahoo... La liste des plateformes affectées par Heartbleed est longue et, plus grave encore, des données utilisateurs ont pu être exposées à des malandrins. En bref, ce sont des informations personnelles, telles que des mots de passe et numéros de carte de crédit, qui ont pu être utilisées au cours des deux dernières années.

Clairement, il n'est pas facile de déterminer si oui ou non un service a pu être touché. Mais dans le doute, il est conseillé aux utilisateurs de modifier leurs mots de passe mais une fois que le service a appliqué sa mise à jour, c'est contre-productif de le faire avant. Certains sites ont tenu à communiquer sur le cas Heartbleed pour rassurer les internautes. Des correctifs de sécurité ont été mis à jour sur de nombreux serveurs, mais il vaut mieux rester prudent.

Mashable propose une liste des services internet touchés et accompagne chaque plateforme d'informations utiles pour comprendre les risques.

Les grandes compagnies :

Google : les serveurs de Mountain View ont été affectés, puis mis à jour. Il est toutefois conseillé de revoir son mot de...

Lire la suite

Correction de bugs et de failles de sécurité dans Office 2011 09/04/2014 | 10:30 | Florian Innocente | 5 commentaires

Plusieurs corrections de bugs et de failles de sécurité sont incluses dans la mise à jour 14.4.1 d'Office 2011 [121 Mo]. Une page détaille les améliorations apportées, les 3 failles sont qualifiées de critiques. Les autres bugs ou amélioration touchaient des fonctions d'Outlook (connexion POP, carnet d'adresses, synchronisation Echange…), Excel (et Word (disparition du curseur à certains endroits d'un document).

Une mise à jour de sécurité disponible pour Flash 09/04/2014 | 07:30 | Florian Innocente | 21 commentaires

Flash reçoit une mise à jour de sécurité qui vient combler quatre failles. Il n'est pas fait état par Adobe de leur exploitation sur Internet par des canailles, comme c'est parfois le cas. La version pour OS X passe donc en 13.0.0.182 [962 Ko]. Chrome, comme d'habitude, a aussi été mis à jour dans la foulée pour intégrer directement cette version rectifiée du module.

Heartbleed : attention à cette méchante faille OpenSSL 08/04/2014 | 21:20 | Anthony Nelzin | 16 commentaires

C’est avec stupeur que le monde a découvert l’existence d’Heartbleed, une faille majeure d’OpenSSL. Une surprise d’autant plus grande que la société de sécurité qui l’a découvert a préféré se faire un coup de pub avec un site dédié plutôt que d’avertir les développeurs de cette implémentation SSL/TLS open source et des principaux systèmes l’utilisant.

Une conduite extrêmement légère au vu de la gravité de cette faille : elle permet à un attaquant d’accéder directement à la mémoire des machines touchées. De quoi récupérer les clefs privées de chiffrement et compromettre l’ensemble des données hébergées, sans laisser la moindre trace. En testant cette faille, les chercheurs ont pu accéder « aux clefs privées de [leurs] certificats X.509, identifiants et mots de passe, messages, courriers, documents professionnels et communications. »

Heartbleed touche OpenSSL 1.0.1 à 1.0.1f, ainsi que la préversion 1.0.2, sur diverses versions de Debian, Ubuntu, CentOS, Fedora, OpenBSD, FreeBSD, NetBSD et OpenSUSE. Un correctif est d’ores et déjà disponible, mais il faudra du temps avant qu’il soit largement diffusé, temps pendant lequel de très nombreux serveurs seront ouverts aux quatre vents. Même lorsque le correctif sera appliqué sur une majorité de serveurs, tous les problèmes ne seront pas rentrés dans l’ordre : les services devront régénérer leurs certificats et les utilisateurs leurs mots de passe, ce qui prendra là encore du temps.

Un certain nombre de sociétés ont donc décidé de fermer leurs services dans l’intervalle, comme Minecraft ou Wunderlist, alors que d’autres comme ...

Lire la suite

Test : Hider 2 masque joliment les fichiers sensibles 04/04/2014 | 16:45 | Mickaël Bazoge | 18 commentaires

La sécurité des données est devenue une problématique centrale pour les utilisateurs d'outils informatiques, qu'il s'agisse de terminaux mobiles ou d'ordinateurs plus traditionnels. MacPaw surfe sur cette vague avec Hider 2 [2.0 - US - 8,99 € - OS X 10.8 - MacPaw Inc.], un coffre-fort numérique qui permet de protéger ses documents des regards indiscrets.

Hider 2, la nouvelle version de MacHider, rend invisible les fichiers que l'on souhaite masquer sur son bureau. Après le lancement du logiciel, celui-ci réclame un mot de passe maître que l'on pourra choisir de stocker dans le Trousseau d'accès d'OS X… ou pas, si l'on n'a pas confiance dans cet outil d'Apple. Il est d'ailleurs possible de masquer ce mot de passe dans le Trousseau. Protéger des fichiers est aussi simple que de les glisser/déposer dans la fenêtre principale du logiciel.

Hider 2 chiffrera alors automatiquement les documents ou les dossiers en AES-256, un système robuste qui a fait ses preuves, et comporte en regard de chaque fichier un bouton pour le masquer ou l'afficher. Il est possible de créer plusieurs coffres (un personnel et un professionnel, par exemple), mais on regrette qu'ils ne soient pas protégés par un second mot de passe. Les tags d'OS X Mavericks sont également pris en charge.

Le logiciel permet aussi de créer des notes sécurisées, que l'on pourra là aussi classer dans plusieurs classeurs. Ces notes, auxquelles on pourra joindre une image, devront...

Lire la suite

OS X : l’accès aux bêtas n’est pas du tout protégé 02/04/2014 | 19:20 | Christophe Laporte | 25 commentaires

L’accès aux systèmes de bêta de Mavericks n’est pas du tout protégé. Nul besoin d’avoir un compte développeur payant ou de traîner dans de sombres endroits sur Internet.

Le blog Pike's Universum a découvert qu’une simple ligne de commande permettait de dire au système de télécharger les bêtas : sudo /usr/sbin/softwareupdate --set-catalog "https://swscan.apple.com/content/catalogs/others/index-10.9seed-10.9-mountainlion-lion-snowleopard-leopard.merged-1.sucatalog.gz"

Cette instruction indique à l’application softwareupdate d’utiliser le « catalogue » comprenant toutes les bêtas du moment. Il est possible de revenir en arrière en tapant l’instruction suivante : sudo /usr/sbin/softwareupdate --clear-catalog.

Nous avons effectué cette manipulation et à notre grande surprise, cela marche parfaitement. On imagine que cette instruction remplace le package qu’Apple fait télécharger aux développeurs afin qu’ils puissent obtenir ces fameuses bêtas.

On vous rappellera qu’il s’agit de bêtas et que par conséquent, on vous recommande de ne pas succomber à la tentation. Quoi qu’il en soit, il est tout de même étonnant qu’une société qui aime tant la culture du secret laisse des bêtas de son système en « quasi » libre-service.

Lire la suite

Safari : Apple corrige les failles découvertes à Pwn2Own 02/04/2014 | 00:45 | Florian Innocente | 7 commentaires

En parallèle au Safari de Mavericks, celui de Mountain Lion et Lion est également corrigé au moyen d'une version 6.1.3 à récupérer depuis le Mac App Store. Point de nouveautés sur les notifications puisque ce système est réservé au 10.9, mais du mieux dans le remplissage des formulaires et sur les questions de sécurité (lire Safari 7.0.3 améliore sa gestion des notifications dans Mavericks).

À la mi-mars, Safari et ses concurrents avaient été mis en échec par des hackers lors de la compétition Pwn2Own au Canada. Apple, dans le détail des failles de sécurité bouchées dans Safari 6.1.3 et 7.0.3, mentionne l'équipe chinoise KeenTeam et les Français de Vupen, deux groupes qui étaient repartis avec de jolis chèques pour leurs exploits (lire Safari et les autres sont tombés lors du concours Pwn2Own). L'essentiel des autres failles a été mis en lumière par les ingénieurs de Google et d'autres l'ont été en interne chez Apple.

Keen Team après leur démonstration - crédit pwn2own

Toshiba prend la sécurité des données de son nouveau disque dur à cœur 25/03/2014 | 17:10 | François Tsunamida | 8 commentaires

Toshiba vient de présenter une nouvelle gamme de disques durs, baptisés MQ01ABUxxxBW, qui fait la part belle à la sécurité des données. Celles-ci sont chiffrées automatiquement (SED ou Self Encrypting Drive) lors de leur copie. La nouveauté vient de la présence d’une protection contre un accès aux données du disque dur non autorisé. Si un système étranger ou une modification de la configuration enregistrée est repérée, par exemple dans le cas de la récupération d’un disque dur et la tentative de le lire avec un autre système, le disque dur efface alors automatiquement ses données.

Cette sécurité des données du disque dur correspond au protocole Federal Information Processing Standard 140-2 (FIPS 140-2) du gouvernement américain. Le MQ01ABUxxxBW est le premier disque dur de Toshiba à avoir réussi la certification FIPS 140-2 délivrée par le National Institute of Standards and Technology (NIST) et répondant au protocole TCG-Opal SSC. Il peut être désormais acquis par les agences ou les ministères du gouvernement US qui nécessitent une protection rigoureuse des données.

Le cryptage SED des données s’effectue de façon matérielle. Par rapport à une solution logicielle opérant en tâche de fond, le chiffrage des informations s’effectue à la vitesse maximale proposée par l’interface SATA. Le DD de 2,5 pouces dispose d’une épaisseur de 7 mm, lui permettant de prendre place dans des terminaux mobiles. La gamme comporte actuellement 2 modèles : l’un de 320 Go et l’autre de 500 Go. On ignore pour le moment le prix de ces disques.

Lire la suite

Pages