News

A l'occasion des Assises de la sécurité, rendez-vous des professionnels de la sécurité, le président de la Cnil, Alex Türk a pu s'entretenir en petit comité avec la presse. Il a ainsi abordé plusieurs thèmes sensibles de l'actualité comme les dangers de la géolocalisation, Street View, les failles de sécurité…Simplement assis face à la poignée de journaliste, le sénateur du Nord livre son sentiment mais également la position de la Cnil sur la géolocalisation. Cheval de bataille de la Commission Informatique et libertés, Alex Türk estime que cette technologie est utilisée sans réels contrôles : « Nous mettons des banderilles de plus en plus appuyées sur ces thématiques car nous souhaitons avoir un rôle à jouer dans ces innovations. Le problème est que sur la géolocalisation, il nous faut saisir l'Union européenne, lui en faire toucher les lacunes… Nous prenons un retard indéniable face à la sortie de nouvelles applications ».

La position d'Alex Türk résonne alors comme un écho aux propos tenus par la commission au sujet des dispositifs de géolocalisation mis en oeuvre dans les véhicules à l'initiative des assureurs ou des constructeurs automobiles. La Cnil recommandait alors un encadrement de ces pratiques.

Autre point évoqué, l'obligation pour les professionnels de notifier toute faille de sécurité de leurs systèmes. Une proposition de loi est actuellement dans les cartons du Sénat. La loi Détraigne-Escoffier doit notamment proposer aux entreprises des moyens de communiquer leurs failles.

Pourtant, à l'occasion d'un colloque organisé par l'UMP, Jean-François Coppé, président du groupe UMP à l'Assemblée nationale avait clairement critiqué ce texte. Alex Türk commente : « En ce moment ça part dans toutes les directions. Cette situation va aboutir à des catastrophes législatives entre différents projets et propositions de loi. A la fin deux textes totalement contraires seront débattus en même temps ». Un journaliste présent dans la salle évoque alors le risque d'une attaque Ddos à force de promulguer de nouvelles lois, provoquant ainsi les rires de la salle.

Entre deux confidences, le sénateur explique que la majorité présidentielle souhaiterait proposer un nouveau texte de loi sur les failles de sécurité. Le document serait alors un mélange entre la proposition Détraigne-Escoffier et le projet de loi Batho-Bénisti…

Enfin, le président de la Cnil a également tenu à commenter sa position au sujet de Google Street View. Il confie : « dans les semaines qui viennent, l'instruction sera terminée ». Nous saurons donc rapidement quelle solution sera adoptée dans l'affaire de la collecte des réseaux WiFi par les Google cars. Une entreprise tierce pourrait ainsi être chargée de supprimer les données concernées.
le 08/10/2010 à 22:50
PHP solutions 9/2010
Le PHP solutions du mois de septembre propose comme thème principal « PHP 5 contre Java » et disponible gratuitement. Ce numéro contient de nombreux articles qui sont :

- Les actualités
- NewsletTux, logiciel de gestion de listes de diffusion pour votre site Web
- L’approche PHP pour le système d’exploitation Android
- ExtJs, Json et PHP
- PHP5 contre Java : le champ des possibles
- Génération de PDF en PHP via la classe FPDF
- E-commerce international
- Comparatif des fonctionnalités de référencement naturel entre Joomla 1.5 et 1.6
- Manipuler une archive ZIP avec PHP

- Numéro : PHP 5 contre Java
Un épisode de plus s'est déroulé au sujet de l'inénarrable loi Hadopi et de la participation des FAI. L'opérateur Free avait décidé de ne pas envoyer les premiers e-mails Hadopi. Estimant respecter la loi et l'article L.331-25 du code de propriété intellectuelle, il ne souhaitait pas non plus « collaborer » avec la haute autorité. Ambiance…Cette fois, c'est le ministre de la Culture, Frédéric Mitterrand qui est monté au créneau pour critiquer ouvertement le FAI. Dans un communiqué, le ministre estime l'attitude de Free « inacceptable ». Il précise : « Le revirement de Free, qui a décidé lundi de ne pas transmettre, à ce stade, à ses abonnés les messages d'avertissement, en violation formelle de ses obligations légales, est inacceptable. Cette situation doit prendre fin dans les meilleurs délais ».

Déjà, lors de sa conférence de presse, l'Hadopi avait exprimé ses réserves sur l'attitude de l'opérateur en estimant qu'elle « porte atteinte aux droits de ses abonnés. En ne recevant pas le premier mail d'avertissement, ils n'auront pas l'information à laquelle ils pourraient prétendre ».

De son côté, l'opérateur se retranche derrière l'article du code de la propriété intellectuelle qui cite seulement comme intermédiaire la « personne dont l'activité est d'offrir un accès à des services de communication au public en ligne ». De même, Free souhaiterait que la Cnil donne son aval à un tel transfert d'informations.

La donne pourrait toutefois changer : « un fournisseur d'accès qui ne se conforme pas à ses obligations légales devra donc en supporter les conséquences judiciaires et financières. Un décret précisera incessamment les sanctions prévues dans ce cadre », indique encore le communiqué de la rue de Valois, reconnaissant implicitement qu'une telle mesure manque encore à la loi...
Monaco - En guise d'introduction aux Assises de la sécurité, la question a été posée. Il faut dire que l'actualité fait désormais largement l'écho de la propagation (ou du nettoyage) du ver Stuxnet. Soupçonné d'avoir lorgné du côté d'installations nucléaires iraniennes, il aurait même été élaboré par des membres d'une cellule des services secrets israéliens...
Pascal Lointier, président du Clusif, préfère donner d'autres chiffres au sujet du malware. Le responsable explique : « l'Inde est le pays le plus touché par Stuxnet. 86 258 utilisateurs ont été infectés. Mais au-delà des chiffres, il est amusant de voir ressortir le mythe du complot alors que la propagation est traditionnelle, sur des postes Windows peu sécurisés ».

Le responsable explique donc que ce type d'accident, concernant les réseaux de type SCADA, n'est pas nouveau. Les infrastructures Supervisory Control And Data Acquisition (télésurveillance et acquisition de données) seraient souvent la cible, parfois accidentellement d'attaques. C'est ce que confirme Pascal Lointier, « Parfois ce sont les systèmes de sécurité eux-mêmes qui sont défaillants. Mais Stuxnet n'est pas une nouveauté, on peut évoquer l'existence du ver Nachi en 2003 qui s'attaquait aux réseaux de distributeurs de billets ou encore le ver Zotob en 2005. Le système est donc faillible » semble ainsi indiquer le responsable.

Il est, dès lors, possible de cibler les manques de la part des professionnels. Les personnes présentes à la conférence évoquent certaines « économies sur les moyens mis en place » ou bien encore l'éclosion du machine-to-machine sans contrôle, comme des facilitateurs d'attaques.

Un point de vue partagé par Cyril Moneron, DSI de St Gobain : « Il y a un besoin de sensibilisation interne. Il faudrait inclure par exemple des exigences de sécurité dans les appels d'offres, idem pour l'environnement externe avec les fournisseurs »... Une sécurité de bout en bout en somme.
Google a pour habitude de tester quelques nouveautés sur son moteur de recherche. Les ingénieurs choisissent généralement un groupe de personnes au hasard afin d'évaluer de nouvelles interfaces et recevoir quelques retours d'expérience pour juger de leur ergonomie. Dernièrement Google semble s'être inspiré du plugin Search Preview permettant de prévisualiser un site Internet.

Directement au sein des résultats de recherche, il suffit ainsi de passer sa souris sur un lien pour voir apparaitre à droite le site Internet vers lequel l'internaute sera renvoyé. Google est également capable de mettre en évidence au sein du panneau de prévisualisation la section du site correspondant aux mots-clés de la requête de l'internaute.

A première vue cette nouvelle ergonomie soulève plusieurs questions. D'une part les liens sponsorisés placés à droite des résultats ne sont donc plus présents. D'autre part, dans la mesure où il suffit de glisser sa souris sur le lien, les éditeurs de sites Internet risquent d'observer un taux de clics en baisse. Ce serait tout de même oublier le récent brevet obtenu par la firme de Mountain View au mois de juillet prenant justement en compte le curseur de la souris pour optimiser le classement d'un site et la publicité. Dans ce document les ingénieurs expliquaient qu'un utilisateur place instinctivement le pointeur de la souris au-dessus ou à côté de la source d'informations. Si le résultat est jugé pertinent alors l'internaute conserva cette position quelques secondes.

Cette nouvelle version du moteur de recherche ne concerne seulement que quelques « happy few » et ne semble pas liée au compte utilisateur de Google mais plutôt au téléchargement d'un cookie.
La récente mise à jour 3.50 de la Playstation 3 n'a pas fait qu'offrir à la console de Sony la possibilité de lire des Blu-ray en 3D et, accessoirement, de bloquer certaines manettes proposées par des fabricants tiers elle a également renforcé ses liens avec le réseau social Facebook, en permettant aux joueur "d'accéder aux informations publiques sur Facebook à partir des jeux prenant en charge Facebook". Une évolution qui est passée relativement inaperçue du fait des autres apports de cette mise à jour, mais qui pourrait bien prendre rapidement de l'importance.

"Nous avons à peu près ouvert toutes les API Facebook aux développeurs de jeux" a expliqué Eric Lempel, le vice-président des opérations réseau de Sony Computer Entertainment au journal Forbes. "Ils sont en mesure de récupérer toutes les informations d'un compte Facebook, ainsi que d'en transmettre à ce dernier".

En d'autres termes, si le joueur autorise à sa console une connexion permanente avec le réseau social, certains jeux exploitant les API de Facebook pourront intégrer des informations personnelles dans leur gameplay. En guise d'exemple, Eric Lempel a évoqué la possibilité, pour un jeu de courses automobiles, d'afficher des photos d'amis du joueur sur les panneaux publicitaires au bord de la route, ou bien de choix musicaux adaptés aux goûts du joueur dans le cadre d'un jeu musical.

Des exemples qui, toujours selon Eric Lempel, pourraient devenir réalité dès la fin de l'année même si Sony ne donne pas de détails concernant les éventuels titres qui pourraient intégrer les API de Facebook. Jusque-là, la Playstation 3 offrait une connectivité limitée avec le réseau social, même si la possibilité de visionner des photos issues du site sur la console était déjà possible, de même que d'afficher ses trophées gagnés sur son profil. Certains jeux ont également déjà effleuré du doigt l'interaction avec les réseaux sociaux, à l'image d'Uncharted 2 qui proposait au joueur de tweeter automatiquement ses performances en solo et multijoueur sur Twitter.

Reste encore à savoir si les joueurs accepteront de voir leurs parties "envahies" de données issues de Facebook, de plus en plus présent sur le Net et ailleurs…
Facebook a procédé hier à une importante mise à jour dont son fondateur Mark Zuckerberg a détaillé les tenants et aboutissants au cours d'une conférence de presse. Les trois nouvelles fonctionnalités mettent à nouveau l'accent sur la protection de la vie privée, principale source d'inquiétude de l'opinion public à l'égard du réseau social qui dénombre néanmoins plus de 500 millions de membres.Petits "groupes" entre amis

La fonction "Groupes" a tout particulièrement été entièrement revue. Elle répond désormais à la même volonté que la fonction des listes d'amis, adoptée par seulement 5 % des utilisateurs : partager du contenu avec une partie seulement de ses amis, de manière simplifiée.

La création d'un groupe, privé par défaut, a ainsi été réduite au strict minimum. Une adresse email unique permet en outre de partager du contenu avec chaque groupe par le biais d'un simple courrier électronique.

Contrairement aux listes d'amis qui sont strictement personnelles, les groupes et leurs listes de membres sont en revanche destinés à être partagés entre amis. Les nouveaux amis qu'a récemment rencontré un de vos amis auront ainsi accès aux contenus que vous partagerez sur votre groupe d'amis communs. Pour qu'un seul des membres d'un groupe d'amis n'accède à vos contenus, il faut donc créer un autre groupe sans celui-ci.Qui fait quoi ?

Après avoir simplifié le paramétrage de la confidentialité, Facebook lance également un nouveau tableau de bord offrant une meilleure visibilité sur les informations auxquelles les applications ont accès, ainsi qu'un bref historique des informations effectivement utilisées par celles-ci. On peut naturellement y modifier les paramètres d'une application ou bien en supprimer complètement.Téléchargez votre boite à chaussure géante

Une dernière fonction permet enfin de récupérer l'intégralité de ses informations ou contenus publiés sur Facebook dans une seule et même archive. Toute sa correspondance, publique ou privée, ses photos ou encore ses informations figurant sur son profil sont alors présentées sur une page à charger depuis son ordinateur, et non d'Internet. La sécurité est un semblant renforcée pour cette fonction, puisqu'il faut confirmer son mot de passe et répondre aux questions de sécurité pour y accéder, depuis la page "Paramètres du compte".

Toutes ces fonctions sont progressivement déployées dès aujourd'hui.
Monaco - La firme américaine profite de sa présence aux Assises de la sécurité pour définir un panel d'offres destiné aux professionnels. C'est donc à l'occasion de ce rassemblement des spécialistes de la sécurité en entreprise qu'IBM explique pouvoir désormais couvrir plusieurs domaines.Loïc Guézo, responsable des offres de sécurité de l'éditeur cherche donc à appuyer certains points : « notre offre va de la gestion de l'identité à la préservation des données via le chiffrement notamment en passant par la gestion des vulnérabilités par exemple. Un spectre suffisamment large pour répondre aux attentes ».

IBM se base sur le rapport X-Force de sa division sécurité pour expliquer que plus de la moitié des 4 396 nouvelles failles recensées cette année se trouvent sur les applications Web. « C'est un nouveau terrain de jeu pour les hackers » estime le responsable.

Plus précisément, le responsable d'IBM préfère évoquer la tendance en matière de demande. « Les besoins s'orientent à l'heure actuelle vers de la sécurisation des applications web. Nous intervenons avant et pendant le cycle de développement du logiciel. On le confronte même aux grandes vulnérabilités connues pour tester sa robustesse ». IBM Tivoli Prevention se charge ensuite d'organiser des tests d'intrusions en utilisant des exploits connus sur des vulnérabilités.

Ensuite, le suivi se fait de manière continue, assure Loïc Guézo « nous orchestrons une remontée des informations vers les développeurs afin de leur délivrer nos conseils ou nos notifications ». Un ensemble censé réduire la marge d'erreur des développeurs ainsi que les failles de sécurité… en principe.
le 07/10/2010 à 22:42
Opera intégrera le lecteur Flash
Lors du salon du CTIA, dédié aux technologies sans-fil, la firme Opera Software a annoncé avoir rejoint l'Open Screen project d'Adobe. Dévoilée en mai 2008, cette initiative a pour but d'unifier le lecteur Flash sur n'importe quel support, qu'il s'agisse de l'ordinateur, du smartphone, de la tablette ou de la TV connectée. L'Open Screen Project rassemble aujourd'hui 70 sociétés partenaires avec tous les grands noms de la scène technologique.

Ce rapprochement entre Adobe et Opera permettra de proposer un environnement unifié pour Flash 10.1 et version ultérieures auprès des clients des opérateurs et distributeurs OEM partenaires de l'éditeur nordique. Il devrait en résulter une meilleure ergonomie et un déploiement plus rapide des mises à jour. En effet, Opera prévoit d'embarquer directement le plugin au sein de son navigateur. Par extension, le lecteur devrait donc être disponible aussi sur les boitiers TV et consoles de jeux. Un peu plus tôt cette année, Google, également membre de l'Open Screen Project, avait aussi annoncé l'intégration du plugin au sein de Chrome.
La récente conférence de presse donnée par l'Hadopi a été l'occasion d'aborder la question des futurs logiciels labélisés. Ces programmes serviront à l'autorité à apprécier plus facilement le cas d'un internaute surpris en train de télécharger illégalement des contenus protégés par le droit d'auteur. Pour autant, rien ne dit à l'heure actuelle quand ils seront publiés.Question a donc été posée à l'auteur du premier texte sur les « spécifications fonctionnelles » (.pdf, feuille de route de conditions techniques) de ces logiciels, Michel Riguidel. Le chercheur à l'ENST, en déplacement aux Assises de la sécurité à Monaco, confirme qu'« à l'heure actuelle aucun logiciel ne peut être labélisé Hadopi vu que la consultation doit se terminer le 30 octobre. » A la question de savoir quand ces logiciels seront labélisés, M. Riguidel répond dans un style laconique : « ils arriveront en mars ou juin 2011, pas avant ». En attendant, les internautes devront donc montrer patte blanche autrement.

Pour autant, la question subsiste sur le contenu de ces logiciels. Même si aucune spécification n'existe encore, le professeur explique « je ne vais pas vous dire qu'ils seront contraires aux premières spécifications que j'ai énoncé dans mon projet ». Logique.

Le scientifique confirme donc les propos d'Eric Walter, le secrétaire général de l'Hadopi qui avait affirmé qu'aucun logiciel ne pouvait à l'heure actuelle garantir respecter les conditions requises.

Malgré cela, la question de la labellisation semble gêner certains éditeurs. Pourtant, d'autres évoquent cette question. C'est notamment le cas d'Olféo qui explique par la voie de son président, Alexandre Souillié que : « l'Hadopi n'est pas un sujet sexy pour les éditeurs. Nous avons émis des remarques au sujet de ces spécifications fonctionnelles, désormais nous attendons les réponses. Les logiciels retenus devront filtrer le P2P mais également les Url. De même, un peu à la manière d'un contrôle parental, ils pourront être homologués par l'AFNOR ».

D'ici cette labellisation, les internautes devront donc mettre tout en oeuvre pour sécuriser eux-mêmes leur accès au réseau local.
LoadingChargement en cours