News

Microsoft a publié hier le bulletin de sécurité du prochain "patch Tuesday". La firme de Redmond clôturera l'année en beauté avec un nombre record de 17 bulletins, contre 16 au mois de septembre. Le traditionnel lot de mises à jour de sécurité du deuxième mardi du mois comblera ainsi 40 vulnérabilités.

Le dernier "patch Tuesday" de l'année 2010 comblera tout particulièrement deux vulnérabilités "critiques". À commencer par un reste du récalcitrant ver Stuxnet, permettant une élévation de privilèges. La dernière brèche en date d'Internet Explorer, permettant l'exécution de code à distance, est également comblée.

Quatorze autres bulletins sont qualifiés d'"importants", un dernier de "modéré". Au moins huit d'entre eux requièrent un redémarrage de l'ordinateur. Un large panel de systèmes d'exploitations et de logiciels Microsoft sont impactés : Windows XP, Vista, 7 et leurs variantes pour serveurs, ainsi qu'Office XP, 2003, 2007 et 2010 et certains de leurs composants.

Microsoft en profitera pour publier d'autres mises à jour ne comblant pas directement de vulnérabilités. Windows Update et l'outil de suppression de logiciel malveillant Windows seront ainsi mis à jour.
Face à l'affaire Wikileaks et aux informations diffusées par le site, l'armée américaine a décidé de réagir pour stopper la fuite de documents classés secrets. Les CD, DVD, clés USB et autres disques durs externes sont désormais bannis de toutes les machines connectées au Secret Internet Protocol Router Network (SIPRNET), le système reliant les réseaux du Département de la défense et du Département d'Etat des USA sur lesquels circulent des données très sensibles.

"Des transferts de données non-autorisés sont régulièrement réalisés sur les réseaux classifiés, en utilisant des supports amovibles. C'est une méthode utilisée pour exploiter des informations classifiées à l'extérieur. Pour atténuer cette pratique, toutes les organisations des Forces aériennes doivent suspendre immédiatement toutes les activités de transfert de données de SIPRNET vers des supports mobiles" déclare l'arrêté diffusé le 3 décembre dernier par le major-général Richard Webber. Des ordres semblables auraient été donnés dans les autres branches de l'armée.

Désormais, l'utilisation d'une clé USB ou d'un disque à graver dans l'un des contextes où leur usage est prohibé est passible de la cour martiale. Les ordres seront cependant difficiles à tenir dans certains cas, notamment pour les ordinateurs déconnectés du réseau en raison, justement, des informations sensibles qu'ils contiennent, et où le transfert de données s'effectue justement pas supports amovibles comme l'a expliqué un militaire spécialiste des réseaux au site Wired.

Ce n'est pas la première fois que l'armée des Etats-Unis prend de telles mesures : il y a deux ans, le Pentagone avait déjà interdit l'usage des supports de stockage externes pour éviter la propagation d'un ver sur le réseau. Une interdiction levée en février dernier, peu de temps, selon Wired, avant que Wikileaks ne reçoive des données concernant les conflits en Afghanistan.
Il était arrivé la même mésaventure à l'armée américaine dont un des soldats avait vendu son baladeur MP 3 contenant des plans d'attaques en Afghanistan. Cette fois, c'est la Nasa qui semble avoir confondu vitesse et précipitation. Elle aurait vendu du matériel informatique sans effacer totalement les données.Selon un rapport financier de la Nasa, 10 ordinateurs appartenant au Centre spatial Kennedy ont été vendus alors qu'ils contenaient des informations sensibles. Pour cause, ces postes auraient échoué lors de tests qui permettent de déterminer s'ils contenaient encore de telles données.

Pire. Certains disques durs, directement disponibles au public depuis des conteneurs, contenaient également des informations potentiellement utilisables par des esprits malveillants. Un audit interne à l'agence a permis de découvrir que certains ordinateurs devant être vendus disposaient encore des adresses des protocoles Internet de la Nasa. Ainsi n'importe quel esprit sachant utiliser ces informations aurait pu se connecter au réseau informatique de l'agence spatiale.

A ce rythme, (et sans parler des fuites/ failles de Wikileaks) c'est Gary McKinnon, le hacker accusé d'avoir pénétré indûment dans les serveurs de la Nasa, pour y chercher des traces d'Ovni, qui va être déçu. Il fait actuellement face à des demandes d'extradition répétées de la part des Etats-Unis. Un simple achat lui aurait finalement suffit…
Après avoir passé la limite de durée des vidéos uploadées de 10 à 15 minutes, Youtube s'apprête à la faire tomber de façon permanente pour certains utilisateurs de son service. C'est ce que le site de vidéos en streaming de Google à annoncer hier sur son blog.

Le service ne donne pas beaucoup de détails concernant les utilisateurs autorisés à envoyer des vidéos de plus de 15 minutes, et se contente d'indiquer de les conditions sine qua non sont de respecter les règles de la communauté Youtube, ainsi que celles du droit d'auteur. "Tant que le contenu vous appartient, la longueur n'a plus d'importance" précise le site. Il y a donc fort à parier que Youtube se base sur les vidéos précédemment envoyées par l'utilisateur pour déterminer si la fonction doit ou non lui être proposée.

Pour savoir si un compte est éligible à cette nouvelle fonctionnalité, il suffit de cliquer sur le lien "Envoyer une vidéo" en haut du site. Si l'utilisateur y a accès, il est immédiatement averti par un message.
le 10/12/2010 à 00:00
Journal de réplication InnoDB
Au paravent, le système de réplication MySQL était associé avec la réplication avec MyISAM. De nos jours, InnoDB a pris une place importante autour de la base de donnée, permettant ainsi d'effectuer les opérations similaires.

Le site Ramblings, présente les orientations suivant les évolutions des années. Mais aussi il explique que d'autres solutions existent autour de la réplication.

- Replication log inside InnoDB
Le sujet de logiciels de surveillance Hadopi ou mouchards revient sur les devants de la scène. Ces derniers sont censés rendre la tâche plus facile à l'autorité afin de disculper un internaute si son adresse IP est repérée. Ce moyen de sécurisation labellisé doit suivre certaines règles appelées « spécifications fonctionnelles ». Ces dernières devraient arriver bientôt.Comme nous l'expliquions, ces moyens de sécurisation ou spécifications fonctionnelles sont des dispositifs qui vont permettre à un internaute d'avoir connaissance de l'état de sa connexion Internet. Vu que la loi Hadopi introduit une obligation de sécurisation de cette dernière, ces moyens proposés permettent de classer en deux catégories les internautes qui seront pris dans les mailles du filet.

Afin de préparer le lancement de ces logiciels, l'Hadopi a donc prévu d'éditer une nouvelle version de ces « spécifications fonctionnelles ». Le secrétaire général de la Hadopi, Éric Walter a expliqué, notamment à PcInpact : « Nous travaillons sur une deuxième version qui devrait être sur la table du Collège de l'Hadopi dès la semaine prochaine ». Rien de plus.

Michel Riguidel, l'auteur du premier texte sur ces spécifications (.pdf) nous avait expliqué que les logiciels seraient labellisés : « en mars ou juin 2011, pas avant ». En attendant, les internautes devront donc se sécuriser autrement…
Des limites de l'anonymat permis par Internet ? Un adolescent de 16 ans a été interpellé dans la nuit de mercredi à jeudi à La Haye (Pays-Bas) pour avoir conduit des attaques informatiques contre les services de Mastercard et de Paypal dans le cadre des mouvements de protestation organisés en faveur du site Wikileaks. Selon la police hollandaise, qui a saisi son matériel informatique, le jeune homme aurait admis avoir participé à ces attaques.

Dans un communiqué, le parquet hollandais indique que l'enquête se poursuit, au motif que le jeune homme « fait probablement partie d'un plus grand groupe de hackers ». Il évalue à « plusieurs milliers » le nombre d'ordinateurs impliqués.

Bien qu'aucun lien ne puisse formellement être établi pour l'instant, l'adolescent devant être présenté devant un juge de Rotterdam lors d'une audience à huis-clos vendredi matin, impossible de ne pas rapprocher cette attaque, menée par un particulier depuis son domicile, de la vaste campagne pro-Wikileaks menée par le groupe Anonymous.
Deux opérateurs viennent de mettre un pied dans la fibre. Bouygues et SFR ont signé un accord de co-investissement visant à déployer la fibre optique dans certaines communes en « zones très denses ». Ces zones regroupent 146 communes ou communautés urbaines autour des grandes agglomérations françaises (.pdf).Ce pacte passé entre opérateurs est le signe que les géants des Télécoms souhaitent minimiser les frais inhérents à la constitution d'un réseau de fibre en France. Une mutualisation de leurs ressources afin de mieux s'ériger en concurrents directs des autres belligérants dans cette guerre du très haut débit.

Les deux co-contractants expliquent que leur partenariat s'est noué grâce à l'utilisation de la technologie GPON qui leur permet de « partager leurs investissements et mutualiser les réseaux horizontaux en fibre optique qui sont déployés entre leurs points de présence et chaque immeuble ». La conclusion est simple, Bouygues proposera des forfaits fibre puisque le câble devra arriver jusqu'au foyer raccordé.

L'Arcep a rapidement commenté cette décision. Dans un communiqué, le régulateur des Télécoms a tenu à insister sur le « dynamisme et la capacité d'un nouvel entrant sur le marché du haut débit (Bouygues Télécom) à investir de manière pérenne dans les infrastructures de très haut débit en fibre optique (FttH) ». Dans la foulée, l'Arcep devrait également définir les règles pour le déploiement en dehors des zones très denses.
le 10/12/2010 à 00:00
Introduction au thème Magento
Le site « sitepoint » montre une approche, pour vous aider dans la réalisation de thèmes, pour la plateforme de commerce électronique Magento.

L'article explique la structure de template à partir de fichiers PHP et XML. Par ailleurs, vous verrez comment structurer les dossiers et mettre en place la hiérarchie des fichiers que vous aurez besoin.

Enfin, l'article montre avec un script exemple comment mettre en place toute la théorie.

- Tutorial: Introduction to Magento Theme Development
LoadingChargement en cours