table des matieres
Transcription
table des matieres
Navixia Newsletter, 19.09.2008 TABLE DES MATIERES • • • • • Vulnérabilités / Incidents Veille Technologique / Tools Informations Fournisseurs Sites d'intérêt Informations / News Navixia Vulnérabilités / Incidents Dernières vulnérabilités Microsoft: Attention aux images! (encore et encore...) Le dernier "Patch Tuesday" de Microsoft nous apporte son lot habituel de vulnérabilités, mais l'une d'entre-elle attire particulièrement notre attention. En effet, MS08-052 permet l'exécution de code à distance via la désormais célèbre librairie GDI+. C'est donc le grand retour des codes malicieux cachés dans les fichiers WMF, BMP et GIF. Nos conseils restent évidement la mise à jour des postes de travail et des anti-virus. Les débuts de Google Chrome Le navigateur Google Chrome a fait l'objet d'une annonce de vulnérabilité de type "carpet bombing" (tapis de bombe): la visite d'un site malicieux peut conduire à un bombardement de téléchargements sur le poste de l'utilisateur. Un Proof of Concept montre comment un utilisateur de Chrome peut être leurré et conduit à télécharger un fichier JAR (archive Java), exécuté automatiquement. Une attaque voulant exploiter cette vulnérabilité doit obligatoirement reposer sur du social engineering car un double clic de la part de l'utilisateur est requis. L’article Chrome: "Google Mule", par Aviv Raff, nous en dit plus à ce sujet, et sa lecture soulève des questions quant à la manière dont la sécurité est traitée dans Chrome. Il faut relativiser la gravité de cette vulnérabilité, du fait que Chrome est encore en version Beta et qu’il n’est pas le seul vecteur des menaces reposant sur du social engineering. Toutefois, cette vulnérabilité doit nous inciter à être vigilants quant à la sécurité de ce nouveau browser, qui peut devenir un vecteur de risque supplémentaire dans les entreprises. Veille Technologique / Tools IBM Internet Security Systems X-Force 2007 trend statistics Il est toujours attendu avec intérêt : le rapport annuel d’analyse des éléments qui menacent la sécurité de l’information produit par la X-Force de IBM ISS. Le panorama de 2007 est contrasté : moins de vulnérabilités en en circulation, mais plus graves ; les établissements bancaires sont la cible principale du phishing ; les spams sont en diminution, mais les malware augmentent de façon significative. Tous les détails ici. Transformer un réseau social en botnet ? Facile ! Encore du social engineering. Cette présentation, faite au dernier BlackHat montre pour quelle raison les sites de réseaux sociaux (dont l’exemple typique est bien sûr Facebook) représentent une plate-forme idéale pour les hackers, et comment ils en exploitent les fonctionnalités « sociales » pour lancer facilement leurs attaques. TTC : attention aux « ombres numériques » ! TTC, le magazine économique de la TSR, a consacré son émission du 15 septembre à un thème qui nous est cher : le danger pour les internautes de divulguer trop d’informations personnelles sur le web. Intitulée « mon blog, mon boss et moi », l’émission montre qu’aujourd’hui, les responsables des ressources humaines n’hésitent pas à jeter un œil sur internet lors des processus d’embauche, avec parfois de mauvaises surprises à la clé pour le candidat. La vidéo de l’émission est visible ici. Vous pourrez aussi lire notre article à ce sujet dans le prochain numéro de PME Magazine. Les conseils de Sensepost Le blog de nos amis de Sensepost est une source d’éclairages intéressants sur les événements du monde de la sécurité. Et, sur leur site, vous pouvez même regarder des démonstrations d’attaques en vidéo. Finjan Web Security Survey H1 2008 Comment les entreprises perçoivent-elles le cybercrime et comment font-elles pour s’en protéger ? C’est ce que montre ce rapport. Il semble que les chefs d’entreprise s’inquiètent aujourd’hui davantage des vols de données que des virus et de la perte de productivité qu’ils entraînent. Plus d’informations ici. Informations Fournisseurs Nouveaux partenariats Navixia a conclu cet été un partenariat avec deux acteurs intéressants du domaine de la sécurité : • • Le spécialiste américain en remote security, e-DMZ, développe des solutions permettant aux sociétés d’ouvrir leur réseau informatique à des partenaires externes sans en compromettre la sécurité. Plus d’infos ici. La société française Evidian est le numéro un européen du SSO d’Entreprise avec plus de 1,5 millions d’utilisateurs déployés chez plus de 600 clients de tous les secteurs d’activités. Le single sign-on (SSO) est généralement considéré comme une simplification de la démarche des utilisateurs, leur offrant un confort accru et un accès simplifié aux applications. Mais son efficacité s’étend bien au-delà : il représente un gain significatif pour la sécurité de l’entreprise au niveau des mots de passe. Plus d’infos ici. Pour Navixia, la conclusion d’un nouveau partenariat repose toujours sur une étude approfondie du partenaire potentiel, de la qualité et de la fiabilité des solutions qu’il propose, de leur capacité à évoluer et de leur adéquation avec vos besoins. Nous n’entrons jamais à la légère dans une telle relation, qui est pour nous synonyme de grande qualité sur tous les plans. Dernières versions software La liste des dernières versions utilisées dans nos produits se trouve ici. Sites d'intérêt Archivage électronique : quelles sont les contraintes légales ? Le volume de documents en circulation dans l’entreprise ne fait que croître, et leur archivage est une préoccupation très réelle. Ce document réalisé par l’étude d’avocats Schellenberg Wittmer dresse le panorama des obligations légales des entreprises en Suisse pour l’archivage des documents sociaux sous forme électronique. Une lecture intéressante. Les secrets cachés de Google Si vous doutiez encore de l’étendue des informations que Google possède sur vous, consultez le blog de Seomoz, une société américaine spécialisée dans le marketing internet. Vous y trouverez une liste de chaque élément récolté ouvertement par Google lorsqu’un utilisateur fait appel à ses services web. Et ça, c’est seulement ce qui est officiel… Informations / News Navixia Résultats de notre enquête de satisfaction annuelle En juin dernier, nous avons invités nos clients à venir remplir en ligne un questionnaire portant sur de nombreux aspects des services et prestations fournis par Navixia. Merci à tous de votre participation. Les résultats se sont avérés très positifs et vos commentaires chaleureux et constructifs nous font chaud au cœur. Nous allons tirer de vos remarques des enseignements importants et vous tiendrons au courant régulièrement de nos orientations. N'oubliez pas que vous pouvez influencer nos orientations en nous faisant part en tous temps de vos idées, besoins et préoccupations. C'est une source d'information précieuse pour nous! Pour nous assurer que nous sommes toujours en phase avec vous, nous nous permettrons de vous proposer un nouveau questionnaire au printemps prochain. Workshops : évaluer une solution hands-on, l’approche la plus parlante Navixia vous propose désormais ses workshops, un nouveau type de rencontre compacte où il est possible d’évaluer des produits ou solutions en petit groupe, par le biais de démos détaillées et de tests hands-on, pour voir s’ils peuvent correspondre à vos besoins spécifiques.