table des matieres

Navixia Newsletter, 19.09.2008
TABLE DES MATIERES
•
•
•
•
•
Vulnérabilités / Incidents
Veille Technologique / Tools
Informations Fournisseurs
Sites d'intérêt
Informations / News Navixia
Vulnérabilités / Incidents
Dernières vulnérabilités Microsoft: Attention aux images! (encore et encore...)
Le dernier "Patch Tuesday" de Microsoft nous apporte son lot habituel de vulnérabilités, mais l'une
d'entre-elle attire particulièrement notre attention. En effet, MS08-052 permet l'exécution de code
à distance via la désormais célèbre librairie GDI+. C'est donc le grand retour des codes malicieux
cachés dans les fichiers WMF, BMP et GIF. Nos conseils restent évidement la mise à jour des
postes de travail et des anti-virus.
Les débuts de Google Chrome
Le navigateur Google Chrome a fait l'objet d'une annonce de vulnérabilité de type "carpet
bombing" (tapis de bombe): la visite d'un site malicieux peut conduire à un bombardement de
téléchargements sur le poste de l'utilisateur. Un Proof of Concept montre comment un utilisateur
de Chrome peut être leurré et conduit à télécharger un fichier JAR (archive Java), exécuté
automatiquement. Une attaque voulant exploiter cette vulnérabilité doit obligatoirement reposer
sur du social engineering car un double clic de la part de l'utilisateur est requis. L’article Chrome:
"Google Mule", par Aviv Raff, nous en dit plus à ce sujet, et sa lecture soulève des questions quant
à la manière dont la sécurité est traitée dans Chrome. Il faut relativiser la gravité de cette
vulnérabilité, du fait que Chrome est encore en version Beta et qu’il n’est pas le seul vecteur des
menaces reposant sur du social engineering. Toutefois, cette vulnérabilité doit nous inciter à être
vigilants quant à la sécurité de ce nouveau browser, qui peut devenir un vecteur de risque
supplémentaire dans les entreprises.
Veille Technologique / Tools
IBM Internet Security Systems X-Force 2007 trend statistics
Il est toujours attendu avec intérêt : le rapport annuel d’analyse des éléments qui menacent la
sécurité de l’information produit par la X-Force de IBM ISS. Le panorama de 2007 est contrasté :
moins de vulnérabilités en en circulation, mais plus graves ; les établissements bancaires sont la
cible principale du phishing ; les spams sont en diminution, mais les malware augmentent de
façon significative. Tous les détails ici.
Transformer un réseau social en botnet ? Facile !
Encore du social engineering. Cette présentation, faite au dernier BlackHat montre pour quelle
raison les sites de réseaux sociaux (dont l’exemple typique est bien sûr Facebook) représentent
une plate-forme idéale pour les hackers, et comment ils en exploitent les fonctionnalités
« sociales » pour lancer facilement leurs attaques.
TTC : attention aux « ombres numériques » !
TTC, le magazine économique de la TSR, a consacré son émission du 15 septembre à un thème
qui nous est cher : le danger pour les internautes de divulguer trop d’informations personnelles
sur le web. Intitulée « mon blog, mon boss et moi », l’émission montre qu’aujourd’hui, les
responsables des ressources humaines n’hésitent pas à jeter un œil sur internet lors des processus
d’embauche, avec parfois de mauvaises surprises à la clé pour le candidat. La vidéo de l’émission
est visible ici. Vous pourrez aussi lire notre article à ce sujet dans le prochain numéro de PME
Magazine.
Les conseils de Sensepost
Le blog de nos amis de Sensepost est une source d’éclairages intéressants sur les événements du
monde de la sécurité. Et, sur leur site, vous pouvez même regarder des démonstrations d’attaques
en vidéo.
Finjan Web Security Survey H1 2008
Comment les entreprises perçoivent-elles le cybercrime et comment font-elles pour s’en protéger ?
C’est ce que montre ce rapport. Il semble que les chefs d’entreprise s’inquiètent aujourd’hui
davantage des vols de données que des virus et de la perte de productivité qu’ils entraînent. Plus
d’informations ici.
Informations Fournisseurs
Nouveaux partenariats
Navixia a conclu cet été un partenariat avec deux acteurs intéressants du domaine de la sécurité :
•
•
Le spécialiste américain en remote security, e-DMZ, développe des solutions permettant aux
sociétés d’ouvrir leur réseau informatique à des partenaires externes sans en compromettre la
sécurité. Plus d’infos ici.
La société française Evidian est le numéro un européen du SSO d’Entreprise avec plus de 1,5
millions d’utilisateurs déployés chez plus de 600 clients de tous les secteurs d’activités. Le
single sign-on (SSO) est généralement considéré comme une simplification de la démarche des
utilisateurs, leur offrant un confort accru et un accès simplifié aux applications. Mais son efficacité
s’étend bien au-delà : il représente un gain significatif pour la sécurité de l’entreprise au niveau des
mots de passe. Plus d’infos ici.
Pour Navixia, la conclusion d’un nouveau partenariat repose toujours sur une étude approfondie
du partenaire potentiel, de la qualité et de la fiabilité des solutions qu’il propose, de leur capacité à
évoluer et de leur adéquation avec vos besoins. Nous n’entrons jamais à la légère dans une telle
relation, qui est pour nous synonyme de grande qualité sur tous les plans.
Dernières versions software
La liste des dernières versions utilisées dans nos produits se trouve ici.
Sites d'intérêt
Archivage électronique : quelles sont les contraintes légales ?
Le volume de documents en circulation dans l’entreprise ne fait que croître, et leur archivage est
une préoccupation très réelle. Ce document réalisé par l’étude d’avocats Schellenberg Wittmer
dresse le panorama des obligations légales des entreprises en Suisse pour l’archivage des
documents sociaux sous forme électronique. Une lecture intéressante.
Les secrets cachés de Google
Si vous doutiez encore de l’étendue des informations que Google possède sur vous, consultez le
blog de Seomoz, une société américaine spécialisée dans le marketing internet. Vous y trouverez
une liste de chaque élément récolté ouvertement par Google lorsqu’un utilisateur fait appel à ses
services web. Et ça, c’est seulement ce qui est officiel…
Informations / News Navixia
Résultats de notre enquête de satisfaction annuelle
En juin dernier, nous avons invités nos clients à venir remplir en ligne un questionnaire portant sur
de nombreux aspects des services et prestations fournis par Navixia. Merci à tous de votre
participation. Les résultats se sont avérés très positifs et vos commentaires chaleureux et
constructifs nous font chaud au cœur.
Nous allons tirer de vos remarques des enseignements importants et vous tiendrons au courant
régulièrement de nos orientations. N'oubliez pas que vous pouvez influencer nos orientations en
nous faisant part en tous temps de vos idées, besoins et préoccupations. C'est une source
d'information précieuse pour nous!
Pour nous assurer que nous sommes toujours en phase avec vous, nous nous permettrons de
vous proposer un nouveau questionnaire au printemps prochain.
Workshops : évaluer une solution hands-on, l’approche la plus parlante
Navixia vous propose désormais ses workshops, un nouveau type de rencontre compacte où il est
possible d’évaluer des produits ou solutions en petit groupe, par le biais de démos détaillées et de
tests hands-on, pour voir s’ils peuvent correspondre à vos besoins spécifiques.