News

Le gouvernement américain a annoncé par le biais de l'agence de presse AP qu'il étudiait le programme australien de contrôle de la sécurité informatique. Un projet vise en effet à permettre aux FAI d'avertir leurs clients s'ils sont victimes d'une intrusion informatique ou d'un botnet.Les responsables de l'Administration Obama auraient ainsi rencontré des experts et certains « capitaines d'industries » versés dans la fourniture de services Internet. Ce groupement chercherait ainsi à mettre en balance d'un côté la sécurisation d'Internet et de l'autre la sauvegarde des données personnelles.

Pour autant, la possibilité de permettre aux FAI de limiter l'usage de leurs abonnés s'ils sont infectés apparaît difficile à mettre en place. De même, les opérateurs ne voient pas non plus d'un bon oeil l'empilement législatif qui vient accroitre leurs obligations. Ils craignent également que leurs abonnés ne se sentent que trop surveillés…

D'un autre côté, les FAI pourraient être responsables de la mise en place et du déploiement des patchs de sécurité des logiciels connus. Ils seraient également capables, plutôt que de tenter de nettoyer des postes, de prévenir un ou plusieurs utilisateurs des risques d'infections.

Par ce biais, les FAI assureraient en quelque sorte un service après-vente de la sécurité. Ils verraient également leurs pouvoirs renforcés et pourraient contrôler plus facilement ce qui transite via leurs box. Le risque étant alors de confondre sécurité et filtrage. DPI quand tu nous tiens…
Un rapport du cabinet Mintel vient de trouver une raison à la faible croissance du nombre de souscription aux abonnements Internet aux Etats-Unis. Cette hausse ne serait que de 3 % en 5 ans. Du coup, le motif de ce chiffre résiderait dans l'utilisation frauduleuse de connexions Wi-FI par certains internautes.Sans pour autant chercher à savoir si le marché américain était arrivé à un point de satiété, le cabinet opère un calcul pour le moins particulier. Sur son site, il estime que « 72% des consommateurs ont un accès Internet chez eux mais 56% déclarent avoir un abonnement. Les 16% restant partageraient donc une connexion en volant la connexion Wi-Fi de leur voisin ». Pire, cette partie des internautes pourrait utiliser une connexion mobile ou « ne saurait même pas d'où vient leur connexion Internet »…

L'étude s'attache également à différencier les moyens par lesquels les internautes se connectent. Ainsi 9 % des américains navigueraient encore grâce à un réseau commuté. 44 % d'entre eux utiliseraient un modem et 38 % seraient équipés en ADSL.

Enfin, Mintel explique que la population des jeunes serait la plus à même de se connecter à ces réseaux WI-Fi non-sécurisés…
Le débat concernant la politique de Facebook en matière de vie privée semblait perdre de l'ampleur ces dernières semaines, après les mesures en série prises par le réseau social pour faciliter la prise de contrôle du compte par son utilisateur, et ainsi lui permettre de mieux gérer ses paramètres de confidentialité. Malheureusement, la polémique vient d'être relancée par le Wall Street Journal, qui évoque aujourd'hui une faille dans le réseau social qui permet à une dizaine d'applications très utilisées d'envoyer des informations personnelles à des sociétés tierces, évoluant principalement dans le secteur publicitaire.

En cause, un problème déjà évoqué il y a plusieurs mois et qui avait alors cours sur plusieurs réseaux sociaux : la transmission de l'ID de l'utilisateur via le "referrer" d'un lien hypertexte créé par certaines applications. Cet ID, qui se révèle être une suite de chiffres unique, se retrouve ainsi dans le lien exploité par certaines applications les plus utilisées du réseau, comme Farmille ou Texas HoldEm Poker de l'éditeur Zynga. "Une ID Facebook peut être partagée par inadvertance par le navigateur Internet ou par une application" a expliqué un porte-parole du réseau social. "La connaissance de l'ID d'un utilisateur ne permet pas d'accéder à ses informations privées" a-t-il néanmoins ajouté. Mais les informations laissées souvent publiques, comme l'année de naissance, le lieu de résidence ou le genre de la personne, restent accessibles par une simple recherche.

Le Wall Street Journal explique par ailleurs qu'il est possible que les développeurs des applications concernées par le problème n'avaient peut-être pas conscience de la situation : reste que la plupart d'entres elles ont tout de même transmis les fameuses ID à de nombreuses sociétés tierces : le journal, qui a mené une enquête approfondie, évoque à ce titre la société de collecte de données Rapleaf Inc. qui aurait massivement lié les ID Facebook récoltées à ses bases de données d'utilisateurs Internet, pour les revendre ensuite. La société se défend aujourd'hui d'avoir agit sciemment.

Face à cette nouvelle affaire, Facebook a annoncé travailler activement sur le problème et l'avoir déjà réglé partiellement, en collaboration avec les éditeurs d'applications en cause. "Nous avons pris des mesures immédiates pour désactiver toutes les applications qui violent nos conditions" a déclaré un porte-parole du réseau social.
Il n'y aura pas de licence pour le projet d'implémentation Java open-source Harmony, selon le Register, qui a pu parler à une source proche du comité de gouvernance de Java.

Java est décidément très présent dans l'actualité. Il faut dire que malgré les tentatives d'Oracle, l'éditeur propriétaire du code Java, de rassurer la communauté ou d'assurer la pérennité de Java, beaucoup se posent encore des questions sur le futur du langage informatique. Notamment de ses implémentations open-source, qui n'ont pu que se sentir visées lorsque Oracle a attaqué Google et son projet Dalvik pour Android.

C'est donc une nouvelle mise en garde à l'égard du monde open-source : le projet Harmony n'obtiendra jamais de licence d'Oracle pour Java. Or c'est justement sur une sous-branche de ce projet sur lequel s'était basé Google pour développer son utilitaire de compatibilité sur Android, Dalvik.

Le Register rappelle que la politique d'Oracle est très claire : rentabiliser les technologies développées par Sun, racheté au début de l'année. Et dans le cas de Java, forcer les fabricants de téléphones mobiles à installer Java Mobile Edition (Java ME), et non un subside d'Harmony, basé sur l'édition standard de Java.
Il reste moins de 5% de blocs d'adresses IPv4 non-alloués, selon Number Resource Organisation, l'autorité chargée de gérer les adresses IP et de les distribuer aux fournisseurs de noms de domaine.

A l'origine, 256 blocs étaient disponibles pour les adresses IPv4. Il en reste une douzaine, dont deux qui sont gérés par l'APNIC pour la région Asie-Pacifique. En clair : « si vous n'avez pas prévu de migrer vers l'IPv6, vous n'existerez pas dans le futur, » selon le directeur de NRO, Axel Pawlik. « Si vous ne vous réveillez pas et que vous ne faites pas quelque chose maintenant, vous en paierez les conséquences plus tard. »

Un message d'avertissement adressé aux fournisseurs de nom de domaine, qui vont subir de plein fouet la pénurie d'adresses IPv4. Il en restait 10% en janvier dernier, il n'y en a plus que 5% aujourd'hui. Certes, la baisse de leur nombre ralentit - ne serait-ce que parce que certains prennent les devants et passent à l'IPv6, qui offre bien plus de possibilités d'adresses libres - mais NRO estime qu'il n'y aura plus d'adresses IPv4 disponibles au début de l'année 2011. Et les autorités d'enregistrement de noms de domaines pourraient être à court en janvier 2012. Voire avant.

Chacun des douze blocs restants représente une capacité de 16 millions d'adresses. Définies dans les années 1980, les adresses IPv4 ne devraient pour autant jamais vraiment disparaître. « Il y aura toujours bien une machine qui aura besoin des deux, » explique Pawlik. Pour autant, la fin des distributions d'adresses IPv4 est attendue depuis longtemps, puisque les premiers appels à passer à des adresses à 128 bits - au lieu des 32 de l'IPv4 - datent d'il y a plus de dix ans. Et que la spécification de l'IPv6 a été publiée en 1995.
« Beaucoup d'attaques ont encore une source inconnue. C'est de là qu'est partie notre réflexion. Des produits étaient totalement inefficaces face à certains types d'attaques. Ces Evasions permettent aux cybercriminels de délivrer du malware plus facilement mais aussi d'organiser des attaques via des exploits ou des attaques non détectées ». Voilà comment Ari Vänttinen, responsable marketing chez Stonesoft débute son propos.L'éditeur fait alors une démonstration des effets d'une attaque du ver Conficker sur Windows 2000 server SP1 mais également sur Windows XP. L'éditeur montre qu'en ne mettant pas à jour les logs de sécurité, le malware n'est pas détecté et encore moins bloqué. L'attaque utilise alors le port 445, plutôt connu pour servir de vecteur de diffusion… La solution de sécurité visée, ici de Palo Alto ne parvient pas à détecter la menace.

Pour l´éditeur finlandais, la plupart des équipements de sécurité ne sont pas capables de se protéger contre les attaques de type Evasion AET pour Advanced Evasion Techniques. Stonesoft a même signalé sa découverte au CERT finlandais, qui n'a fait que retranscrire l'information sur son site.

Reste à savoir si ce type d'attaque dynamique peut réellement parvenir à passer outre les mesures de sécurité mises en place. Le Cert-Fi ainsi que les laboratoires dé sécurité de Verizon mènent actuellement une enquête sur le sujet. Histoire d'en savoir un peu plus…
En estimant le chiffre d'affaires réalisé par les services de musique en ligne, un cabinet estime que le futur de l'industrie musicale se trouve dans l'écoute en ligne via le streaming. Informa Telecoms et Media explique qu'avec 20 millions d'abonnés, un tel service pourrait dégager jusqu'à 77,7 millions d'euros de chiffre d'affaires.L'information reprise par l'agence de presse Reuters est le signe qu'un changement de mentalités pourrait s'opérer chez les diffuseurs de musique en ligne. En France, une des preuves de ce changement s'avère être l'alliance entre le site Deezer et Orange afin d'augmenter le nombre d'abonnements payants.

Reste pour autant à connaître la viabilité des modèles économiques basés sur l'écoute en ligne comme Spotify, Pandora ou Rhapsody. Ces types de services sont basés sur la publicité et le nombre d'abonnements payants. Pour autant, l'étude (payante) montre que leur rentabilité doit passer par des accords avec de grands opérateurs comme en suède entre TeliaSonera et Spotify…
Après Facebook Connect, Y Connect ? A en croire le Wall Street Journal, le portail américain Yahoo! pourrait très prochainement dévoiler une stratégie similaire à celle du réseau social de Mark Zuckerberg pour générer du trafic supplémentaire vers ses services.

"Avec Y Connect, les utilisateurs pourront s'inscrire et se connecter à des sites en cliquant simplement sur un bouton Yahoo" explique le journal. A l'image de Facebook Connect, il serait ainsi possible d'utiliser son compte Yahoo! Pour s'inscrire rapidement sur des sites, partager des informations avec ses contacts ou encore partager du contenu via Yahoo! Pulse, le service remplaçant Yahoo! Profil.

S'il explique que Yahoo! a refusé de commenter ces informations qu'il tiendrait de "personnes proches du dossier" - le Wall Street Journal semble particulièrement sûr de lui. "En cas de succès, de telles connexions pourraient stimuler davantage l'activité sur les services de Yahoo! et aider l'entreprise a mieux cerner les intérêts des utilisateurs, et déterminer quelles annonces en ligne sont le plus susceptibles d'être efficace" explique le quotidien. Le marché de la publicité en ligne est en effet de plus en plus concurrentiel, Google et Facebook étant les principaux concurrents de Yahoo! sur ce point.

Le service, qui pourrait être annoncé officiellement dans le courant de l'automne, laisse néanmoins perplexe les analystes. Greg Sterling, qui occupe cette fonction chez Sterling Market Intelligence, explique que Yahoo! pourrait pâtir de son arrivée tardive dans un secteur déjà très largement investi par Facebook. Il estime cependant que le portail mené par Carol Bartz pourrait bénéficier d'un meilleur accueil que le réseau social dans certaines parties du globe, comme l'Asie, où Facebook est encore peu populaire. Également contacté par le WSJ, le réseau social de Mark Zuckerberg n'a pas souhaité commenter ces spéculations.
L'Université américaine de North Florida annonce avoir été victime d'une faille de sécurité. Les données de 107 000 étudiants actuellement dans l'enceinte de l'école auraient été compromises. Des informations comme le nom ou le numéro de sécurité sociale (véritable sésame outre-Atlantique) seraient mises au jour.Selon l'Université, il s'agirait bien d'un hack puisque les personnes qui se sont introduites n'avaient aucune autorisation pour pénétrer dans les systèmes informatiques entre le 24 et le 29 septembre. C'est lors d'une opération de contrôle de sécurité de routine que les responsables des installations ont estimé qu'un ordinateur basé hors du territoire américain aurait servi à cette attaque.

Ce n'est pourtant pas la première fois que les institutions universitaires américaines sont touchées par de telles failles. Le site Computerworld rapporte même que 128 failles de ce type auraient été enregistrées dans les universités américaines depuis 2009… 1,7 millions d'enregistrements auraient ainsi été compromises.

Un chiffre effarant qui montre à quel point certains réseaux sont encore insuffisamment sécurisés. De même, le site explique que bien souvent, des travaux de sécurisation sont effectués… après la découverte ou l'utilisation d'une faille.
le 18/10/2010 à 11:44
Oauth pour Application Twitter
Le sitePoint a publié un article en 2 parties autour de l'utilisation de Oauth et l'identification des applications Twitter.

La première partie présente la nouvelle OAuth que Twitter a mi en place fin août 2010. L'auteur montre comment enregistrer sa demande et comment faire ses premiers pas avec la bibliothèque en PHP. Par ailleurs, vous verrez comment gérer les jetons pour les URL

La deuxième partie montre la technique d'authentification . L'article guide à travers le processus l'enregistrement de la demande, tout en utilisant la bibliothèque TwitterOAuth (création, validation).

- OAuth for PHP Twitter Apps, Part 1
- OAuth for PHP Twitter Apps, Part 2
LoadingChargement en cours