Google Chrome et Search alertent sur les sites douteux

Posted On 04/03/2015 By Mesndev In Google, Internet, sécurité, Web / No Comments

Chrome affiche maintenant un pop-up pour mettre en garde contre les téléchargements intempestifs.

Des modifications ont été apportées à Chrome et Search pour prévenir leurs utilisateurs lorsqu’ils arrivent sur un site qui risque d’installer sur leur poste un logiciel non souhaité.

Google a ajouté dans son navigateur une protection contre les risques de téléchargement mal venus. Chrome affichera maintenant un avertissement, sous la forme d’une fenêtre pop-up rouge, poursignaler aux internautes que le site visité pourrait installer sur leur poste des programmes risquant de modifier le fonctionnement de leurs logiciels. Les utilisateurs pourront alors faire marche arrière. De la même façon, le moteur de recherche Search intègre aussi des alertes pour mettre en garde contre les sites douteux.

Google a par ailleurs commencé à désactiver les annonces publicitaires (« ads ») qui conduisent vers de tels sites à travers Search. Depuis mi-décembre, le fournisseur a mis en place une nouvelle politique de sécurité à laquelle les sites proposant du téléchargement doivent se conformer. Celle-ci s’applique à l’ensemble des sites et pas seulement aux pages vers lesquelles pointent les annonces publicitaires. Il est conseillé aux propriétaires de sites de s’enregistrer surWebmaster Tools pour être tenus au courant des problèmes de téléchargement non sollicités sur leur site.

Source : Le monde Informatique

Freak, une faille critique qui menace le chiffrement web

Posted On 04/03/2015 By Mesndev In Internet, Système d'exploitation, Web / No Comments

La faille Freak permet à des attaquants de dégrader la sécurité des connexions web en passant d’un chiffrement fort à un mode de chiffrement faible initialement intégré à des logiciels destinés à l’export. (Crédit : D.R.)

La vulnérabilité Freak qui touche SSL et TLS affecte de nombreux sites populaires, ainsi que l’OS Android, le navigateur Safari et les applications utilisant une version d’Open SSL antérieure à 1.0.1k.

Une autre faille de sécurité vient d’être découverte dans le protocole SSL (Secure Sockets Layer) et son successeur, TLS (Transport Layer Security). Baptisée Freak (pour Factoring attack on RSA-EXPORT Keys), elle permet à un attaquant d’intercepter du flux chiffré circulant entre postes clients et serveurs. Elle permet en effet de forcer les navigateurs à utiliser un chiffrement sur 512 bits en lieu et place du 2048 bits. La faille touche de nombreux sites très fréquentés et différents logiciels, comme l’OS mobile Android de Google ou le navigateur Safari d’Apple. Les applications qui utilisent une version d’OpenSSL antérieure à 1.0.1k sont également vulnérables, selon le bulletin d’alerte publié sur le site CVE. Cette faille existe apparemment depuis plusieurs années.

Des mises à jour pour iOS et OS X seront livrées la semaine prochaine, a indiqué Apple. De son côté, Google a indiqué avoir fourni des correctifs à ses partenaires pour protéger les connexions Android vers les sites vulnérables.

Un problème qui prend sa source dans les années 90

Le problème vient de restrictions imposées par le gouvernement américain au début des années 1990. Dans un billet, Ed Felten, professeur d’informatique à l’Université de Princeton, rappelle qu’elles empêchaient les éditeurs de logiciels d’exporter des produits intégrant du chiffrement fort. Certains fournisseurs ont donc commercialisé en dehors des Etats-Unis une version de leurs produits comportant des clés de chiffrement faible. Lorsque la loi a changé, la fonctionnalité destinée au mode export n’a pas été supprimée du protocole car certains logiciels s’y référaient encore, explique Ed Felten.

La faille Freak permet ainsi aux attaquants de dégrader la sécurité des connexions en passant au mode de chiffrement faible initialement intégré à des logiciels destinés à l’export. Les serveurs et postes clients vulnérables sont ceux qui acceptent les suites cipher RSA_EXPORT. Les sites web qui y recourent risquent de voir leurs connexions HTTPS interceptées. Le site freakattack.com fournit une liste des principaux sites qui doivent arrêter de les supporter.

Sources : Le monde Informatique

Apple pourrait lancer un service de télévision payante sur le Web

Posted On 20/02/2015 By Mesndev In Apple, Web / No Comments

La firme serait entrée en pourparlers avec des programmateurs. L’idée ? Proposer directement au public et sur le Web de la télévision linéaire et de la VoD sans passer par les câblo-opérateurs.

agrandir la photo

Jusqu’à maintenant, les ambitions audiovisuelles d’Apple s’étaient limitées au hobby qu’est son boîtier Apple TV, à une offre mensuelle en 2009 vite arrêtée et à la diffusion de contenu via l’iTunes Store. La société pourrait passer à l’étape supérieure en proposant un service de télévision payant en OTT (Over The Top), c’est-à-dire directement sur le Web.
Le site Re/code signale en effet que des négociations seraient en cours, mais pas très avancées, à ce sujet avec des programmateurs TV. Certains d’entre eux précisent même qu’ils n’ont pas encore entamé les discussions avec Apple. Autant dire que les questions de coûts et de disponibilité ne sont pas encore à l’ordre du jour.Pour Apple, plus question de s’associer avec des câblos-opérateurs comme ce fut le cas avec Time Warner Cable précédemment – ce qui impliquait de développer matériel et logiciel. Il s’agit bien de concocter sa propre offre en faisant son marché dans les productions de ceux qui créent les contenus et en y ajoutant peut-être de la vidéo à la demande, le tout au sein d’une interface et d’une ergonomie signée par Apple.

Outre le contenu proposé, c’est certainement là que la firme de Cupertino pourrait apporter son savoir-faire. Tim Cook déclarait en septembre dernier que « la télévision est restée coincée dans les années 70 ». Ce service over the top serait donc l’occasion de montrer au monde ce qu’est la télévision du XXIe siècle selon Apple.

Il n’existe pas vraiment d’équivalent en France, même si Orange propose sur le web son bouquet payant de chaînes OCS qui mixe contenus linéaires et un peu de SVoD. Mais, ces chaînes sont avant tout consommées via des boxs et ne concernent que le cinéma et les séries TV.
D’autres initiatives de ce genre devraient voir le jour cette année. Il faudra suivre le déploiement de PlayStation Vue par Sony avant la fin de ce trimestre. Mais aussi le lancement par HBO de son nouveau service OTT au mois d’avril. La télévision payante sur le Web, ce sera peut-être la meilleure réponse des chaînes aux services de SVoD comme Netflix..

Source : 01 Informatique

Piratage Gemalto : La NSA a volé des clés de chiffrement de cartes SIM

Posted On 20/02/2015 By Mesndev In Internet, Smartphone, Web / No Comments

Un extrait de slide issu d’un document de l’agence GCHQ fuité par Edward Snowden. (crédit : D.R.)

Selon des documents d’Edward Snowden, l’agence américaine de renseignements NSA mais également des communications britanniques GCHQ auraient piraté le fabricant de cartes SIM Gemalto afin de surveiller les communications téléphoniques mondiales.

Les agences de surveillance américaine NSA et britannique GCHQ sont sous le feu des projecteurs. Des nouvelles révélations relatives aux documents d’Edward Snowden font état d’un piratage de grande ampleur ayant visé Gemalto. Ces agences de renseignement seraient en effet parvenus en 2010 à pirater le réseau du géant spécialisé dans la fabrication de cartes SIM et voler des clés de chiffrement pour potentiellement surveiller les clients de centaines d’opérateurs mobiles dans le monde.

Ce piratage d’une rare ampleur aurait permis à la NSA et à la GCHQ (Governement Communications Headquarters) de suivre une très grande part des communications vocales mais également du trafic de données selon The Intercept, et ce, sans aucun accord des gouvernements étrangers. Le volume du trafic mobile intercepté par les deux agences n’est en revanche pas clairement établit.

Gemalto affirme ne pas avoir eu connaissance de cette opération

Un représentant de la NSA, contacté pour l’occasion, n’a pas souhaité commenté cette affaire. De son côté en revanche, Gemalto a officiellement apporté la précision suivante : « Nous ne pouvons à ce stade de l’enquête confirmer les informations de cet article, et n’avions aucune connaissance préalable que ces agences gouvernementales conduisaient cette opération. Gemalto, leader mondial de la sécurité numérique, est particulièrement vigilant en ce qui concerne les hackers malveillants, et a détecté et géré toutes sortes d’attaques au cours de ces dernières années. A ce stade le lien entre ces attaques passées et celle révélée hier ne peut pas être prouvé. »

Selon The Intercept, GCHQ aurait compromis les réseaux informatiques de Gemalto et installé un malware sur plusieurs ordinateurs pour accéder à tout son réseau mais également aux serveurs de paiement des opérateurs mobiles pour lui permettre de manipuler les frais de communication et cacher la surveillance sur les mobiles.

Basé aux Pays-Bas, Gemalto produit près de 2 milliards de cartes SIM chaque année. Près de 450 opérateurs mobiles, incluant AT&T, T-Mobile, Verizon Wirless et Sprint, utilisent ses cartes SIM.

Source : Le monde informatique

Garder le contrôle de ses photos sur les réseaux sociaux

Posted On 12/02/2015 By Mesndev In Internet, Web / No Comments

Grâce à l’application Privately, seules les personnes autorisées pourront voir vos photos sur Facebook. (Crédit photo Privately).

Basée à l’EPFL, Privately lance une application mobile destinée à protéger la vie privée des internautes lors du partage de photos sur Facebook ou Twitter. Une application vitrine qui doit permettre à la société de se présenter.

Dans le climat ambiant de volonté de protection des données, la société Privately lance une application permettant aux internautes qui le souhaite de gérer les photos qu’ils publient sur Facebook et Twitter. Disponible pour Android et bientôt (probablement lundi prochain) pour iOS, cette application offre aux utilisateurs la possibilité de poster du contenu sur Facebook et Twitter tout en restant maître de ces publications.

Concrètement, lorsque l’internaute prend une photo et souhaite la partager, il peut la flouter ou la publier en la «glissant dans une enveloppe», comme le précise Pascal Bauermeister, lead architect chez Privately: «Ces photos sont alors inexploitables pour Facebook, alors même que maintenant toute photo postée sur Facebook peut être utilisée pour sa communication publicitaire.» Cette photo ne sera accessible qu’aux personnes destinataires de la publication. Ils pourront y accéder en cliquant dessus et seront redirigés vers un site. Sur mobile, le post peut aussi être vu directement via l’application Privately si les destinataires sont aussi équipés de l’application.

Un oubli programmable

En outre, une durée de publication du post peut être ajoutée, selon que l’internaute souhaite le laisser accessible un jour, une semaine, un mois ou une durée déterminée. Au terme de cette période, les données s’effacent automatiquement. Une sorte de droit à l’oubli automatique. «Mais si il se rend compte qu’il n’aurait pas dû publier ce contenu, il peut aussi le supprimer à tout moment.» Une API sera prochainement disponible, pour équiper toutes applications sociales et permettre à leurs utilisateurs de basculer en mode privé.

Si cette application est disponible gratuitement, c’est parce que Privately veut présenter sa technologie. Il faut dire qu’à l’origine, Privately a développé une plateforme de stockage des données privées destinée à être vendue aux opérateurs de télécommunications pour sécuriser les données de leurs clients. La société basée au parc de l’innovation de l’EPFL est d’ores-et-déjà en contact avec des opérateurs en Suisse, en Europe et en Asie. Elle avait lancé il y a environ une année ce service en mode cloud. La société est une spin-off de Kudelski, qui en détient encore 30% des parts.

source : Le monde informatique

Web

Un problème qui prend sa source dans les années 90

Abonnez-vous à notre newsletter