News

Ecrire un commentaire
Vous connaissiez sans doute le phishing, cette technique qui consiste à se faire passer pour une banque ou un établissement financier de façon à inciter l'internaute à communiquer ses informations personnelles, mais peut-être étiez-vous passé à côté du vishing, l'une de ses évolutions ? Le vishing consiste à utiliser la voix, et tout particulièrement la voix sur IP qui permet un certain anonymat, pour mettre en confiance la victime qui se méfierait du courrier électronique. Si la France est encore épargnée par le phénomène, la cellule Internet Crime Complaint Center du FBI vient de lancer aux Etats-Unis une alerte relative au vishing.

Les méthodes d'ingénierie sociale (social engineering en anglais) n'ont donc pas fini d'inspirer les pirates. Pour mémoire, celles-ci consistent à abuser la confiance de l'internaute en se faisant passer pour sa banque, son fournisseur d'accès ou un prestataire de services, de façon à ce que ce dernier fournisse de son propre chef des informations telles que ses identifiants bancaires ou le code de sa carte de paiement électronique. Avec le phishing, cette usurpation d'identité prend la forme d'un courrier électronique invitant l'internaute à se connecter au site de l'établissement concerné pour saisir ses informations personnelles. Intégrés au corps du message, des liens hypertextes conduisent en réalité vers un site contrefait.

Le vishing, contraction de voice et de phishing, repose quant à lui sur l'utilisation de la voix. Le principe reste identique à celui du phishing, à ceci près que l'internaute n'est pas forcément contacté par courrier électronique : un pirate ou un serveur vocal peut se charger de le joindre par téléphone et lui délivrer un message censé émaner de sa banque. La victime est ensuite invitée à saisir ses identifiants non pas sur un site Web, mais directement au téléphone, au clavier ou de façon orale. Certains cas d'envoi par SMS ont même été détectés ces dernières années. Plus sournoise que le phishing, cette méthode est également plus subtile dans la mesure où il n'y a guère de limites au nombre de scénarios que peuvent inventer les pirates.

Comme toujours, rappelons à nos lecteurs qu'une banque ou un établissement financier ne vous demandera jamais de modifier ou de confirmer vos coordonnées par email et ne risque pas de vous contacter par l'intermédiaire d'un serveur vocal. En cas d'appel suspect, mieux vaut prendre le temps de vérifier l'identité de son interlocuteur ou demander à traiter avec un employé avec qui l'on a déjà eu un contact. Par ailleurs, il est fortement recommandé de ne jamais utiliser les liens contenus dans un courrier électronique pour se rendre sur le site de sa banque, mais de toujours saisir manuellement l'adresse de ce dernier dans son navigateur.
Ecrire un commentaire
Le fournisseur d'accès à Internet Free annonce aujourd'hui l'arrivée d'une nouvelle version de son couple "Freebox et Freebox HD". Baptisée "Freeplug", cette nouvelle mouture permet de bénéficier en standard du courant porteur en ligne (CPL) pour relier entre elles les deux parties de la Freebox HD.

Le courant porteur en ligne (CPL) est une technologie qui consiste à utiliser le réseau électrique par le biais d'adaptateurs pour transmettre de façon sécurisée des données numériques. Avec le CPL, plus besoin de nouveau câblage, c'est le réseau électrique du logement qui relie les équipements entre eux.

Free a choisi d'intégrer la technologie Homeplug AV dans les blocs d'alimentation des deux boîtiers de la Freebox HD : les Freeplugs. Grâce à cette solution, les Freenautes bénéficieront sans surcoût d'une liaison sécurisée avec un débit allant jusqu'à 200 Mbps entre les boîtiers ADSL et HD, ce qui leur permet de choisir librement l'emplacement du boîtier HD fournissant les services audiovisuels, sans se soucier de la distance le séparant du boîtier ADSL.

Les Freenautes pourront également bientôt raccorder leur ordinateur à la Freebox ADSL en CPL par l'achat d'un adaptateur Freeplug, qui sera disponible prochainement dans la boutique en ligne de Free. La Freebox HD Freeplug est envoyée aux nouveaux abonnés dans les zones dégroupées. Elle est également accessible en renouvellement pour les abonnés situés en zones dégroupées détenteurs d'une Freebox version antérieure. Les abonnés disposant déjà d'une Freebox HD pourront prochainement commander des Freeplugs.
Ecrire un commentaire
Facebook, MySpace et autres réseaux sociaux menacent-ils la confidentialité des données ? La Commission nationale informatique et libertés (CNIL) s'interroge et invite les internautes à la prudence.

Les services offerts par les plates-formes de mise en relation (création de profils, partage de contenus multimédias, échange de messages, création de communautés thématiques, etc.) sont le plus souvent proposés gratuitement "en contrepartie d'une utilisation commerciale de vos données personnelles", note la CNIL dans un communiqué. Avant d'ajouter : "les informations vous concernant sont plus ou moins largement diffusées, indexées et analysées. La vigilance s'impose".

Consciente des dérapages possibles, la CNIL déclare avoir rencontré fin 2007 des représentants de Facebook, un réseau de 60 millions d'utilisateurs actifs à travers le monde, "afin d'évaluer les risques qu'un tel service peut comporter au regard de la protection des données". En la matière, l'intégration par défaut du programme publicitaire controversé Beacon et le mea culpa de Mark Zuckerberg, co-fondateur et CEO de Facebook, ont fait couler beaucoup d'encre.

Dans ce contexte, la CNIL entend obtenir des informations sur la manière dont Facebook analyse les profils de ses membres pour leur délivrer des publicités ciblées. La Commission rappelle, par ailleurs, que les personnes concernées doivent être informées "de la finalité des fichiers, des destinataires des données et de l'existence d'un droit d'accès et de rectification".

Enfin, la CNIL a récemment demandé à la jeune pousse californienne des précisions concernant la durée de conservation des données personnelles des membres de Facebook, les adresses IP traitées et, enfin, les adresses électroniques des personnes invitées par un membre du réseau social.
Ecrire un commentaire
Dans un énième revirement, Microsoft a indiqué avoir changé d'avis sur les modalités de virtualisation de son système d'exploitation phare, Windows Vista. Après avoir indiqué que les éditions familiales de Windows Vista, Windows Vista Familiale Basique et Windows Vista Familiale Premium ne pourraient pas être installées sur une machine virtuelle, Microsoft annnonçait hier qu'il levait cette limitation.

S'il fut un temps où Microsoft indiquait que virtualiser les éditions grand public de Windows Vista posait un risque de sécurité, le géant des logiciels fait volte-face et indique dorénavant que l'autorisation de la virtualisation de ces éditions spécifiques arrive au bon moment. Cette nouvelle sera particulièrement bien accueillie par les utilisateurs de Parallels ou encore par les utilisateurs Mac qui n'auront plus à se tourner vers les éditions Professionnels et Intégrale du système d'exploitation de Redmond.
Ecrire un commentaire
le 21/01/2008 à 18:45
En route pour le salon solution linux
Note de l'auteur :

Je suis en train de préparer la semaine prochaine, qui va être sportive et festive : je parle bien sûr du salon linux. Ce sera avec beaucoup de plaisir que je vais retrouver un très grand nombre d'acteurs du libre, de PHP et bien sûr, mes collègues d'Alter Way.

Au programme, je propose deux sessions : la première est consacrée à PHP 6, et tout ce qui va changer avec cette nouvelle version. Cela sera la session la plus projective que j'ai faite, avec une forte probabilité que tout ce qui sera dit soit valable.. l'an prochain.

J'ai aussi une session sécurité PHP, sur laquelle je planche pour renouveler le concept : toutes les sessions sécurité font des listes d'épicerie de vulnérabilités à combler. Elles restent théoriques à mon goût, et, avec Philippe Gamache, on travaille à une approche plus pragmatique. L'audit de code PHP et par où commencer à chercher des failles dans le code devrait être une approche fraîche et dépoussiérante.

J'ai aussi une séance de dédicace du livre 'sécurité PHP 5 et MySQL 5', que vous pourrez toujours venir consulter sur le site de nexen services. Nous aurons aussi un concours de photos de l'éléPHPant. Nous aurons aussi une vente d'éléphpants sur place.

N'hésitez pas à passer nous voir, pour parler PHP, sécurité, MySQL ou simplement pour prendre un café.

- Solutions linux 2008
- Coley hugs Scotts new baby
- Sécurité PHP 5 et MySQL
Ecrire un commentaire
le 21/01/2008 à 18:42
PHPunderControl
phpUnderControl est une application compagnon de l'outil d'intégration continue CruiseControl, qui intègre les meilleurs outils de développement PHP. Ce projet a pour objectif de faire avec vous les premiers pas avec CruiseControl et PHP et de les rendre aussi simple que possible. Par conséquent, phpUnderControl est livré avec un outil de ligne de commande, pour effectuer toutes les modifications à une installation CruiseControl.

Cruisecontrol est une application qui implémente les concepts de l'intégration continue : chaque membre de l'équipe ajoute ses modifications au programme chaque jour, et une batterie de tests est exécutée immédiatement pour vérifier que tout fonctionne bien.

- PHPunderControl
- Cruisecontrol
- Integration continue
Ecrire un commentaire
le 21/01/2008 à 18:40
Le danger des javascript distants
Nat Torkington présente un problème de sécurité rencontré par Perl.com : ces derniers affichait une publicité via un annonceur et un code javascript distant. Rien d'original jusque là, puisque des millions de sites font pareil.

Le problème a surgit lorsque le domaine de l'annonceur a été oublié, puis racheté par un spammeur, qui a remplacé immédiatement le javascript par un autre système qui redirigeait vers un site pornographique (le classique de la redirection spammeuse, il semble). Dans cette situation, perl.com avait intentionnellement installé le javascript sur le site : c'est bien le site annonceur qui fait défaut.

Maintenant, comptez donc le nombre de javascript qui sont sur votre page, et qui vont chercher des informations distantes...

- Dangers of remote Javascript
Ecrire un commentaire
Quelques semaines après la prise de contrôle de Neuf Cegetel par SFR, ce dernier met à jour l'une de ses offres "quadruple play" incluant ADSL, TV, téléphonie et... connexion internet mobile. Depuis le mois d'octobre dernier, l'opérateur SFR propose en effet un forfait comprenant à la fois un accès à internet et une offre 3G+ pour ordinateurs portables via une clé USB associée.

Celle-ci permet d'utiliser en standard jusqu'à 50 Mo de connexion 3G/3G+ par mois avec un ajustement automatique du prix en cas de dépassement de cette limite. L'offre est toujours proposée au prix de 29,90 euros par mois, auquel il faudra ajouter le premier mois un euro pour l'achat de la clé USB 3G/3+. A noter qu'il sera possible les deux premiers mois de surfer en 3G/3G+ sans limitation de temps et de durée (pas de limite data), sans attendre l'activation de sa ligne ADSL.

Côté prix en cas de dépassement de cette limite de 50 Mo par mois en 3G/3G+, il faudra compter 39,90 euros par mois pour 50 à 250 Mo de data, 49,90 euros pour 251 à 500 Mo et enfin 59,90 euros pour 501 Mo à 1 Go. Pour les mobinautes qui dépassent cette limite de 1 Go de données échangées en un mois, il faudra alors compter 10 centimes d'euro par mega-octet supplémentaire.
Ecrire un commentaire
le 21/01/2008 à 18:39
Bientôt de la vidéo sur Wikipedia ?
La Wikimedia Foundation, organisme à but non lucratif qui édite Wikipedia, annonce la mise en place d'une collaboration avec la société Kaltura visant à l'élaboration d'un outil permettant d'introduire des vidéos, des animations ou des diaporamas au sein des pages de la célèbre encyclopédie en ligne tout en conservant l'aspect "collaboratif" qui a fait son succès. Autrement dit, il serait non seulement possible d'intégrer une vidéo ou un objet multimédia à une page, mais aussi et surtout d'éditer de façon sommaire ces contenus !

Dans un premier temps, cet outil sera testé sur WikiEducator, un site qui n'est pas rattaché à la fondation Wikimedia mais utilise le même moteur que Wikipedia, MediaWiki. Kaltura, qui l'édite, annonce à cette occasion le passage sous licence open source de l'intégralité de son code (voir SourceForge). "Dans le cadre de notre coopération avec Wikipedia, nous nous assurerons que notre plateforme multimédia fonctionnera sans la moindre relations de dépendance envers des logiciels ou standards fermés", explique Shay David, directeur technique de Kaltura. Les premières pages de démonstration révèlent pour l'instant un lecteur reposant sur la technologie Flash d'Adobe.

"Tous les contenus audio et vidéo des projets Wikimedia utilisent des formats ouverts, comme Ogg Vorbis et Ogg Theora, qui peuvent être lus au moyen de logiciels open source. Nous pensons que les standards ouverts sont critiques dans l'avènement d'un futur du Web ou tout un chacun pourra participer - dans le véritable esprit de Wikipedia", déclare Sue Gardener, directrice exécutive de Wikimedia. A terme, l'application issue de ses travaux devrait être intégrée à Wikipedia mais aussi à Wiktionary ou Wikiquote.
Ecrire un commentaire
"Loïc et sa trottinette", ou comment le fait de filmer ses exploits automobiles puis les diffuser sur Internet peut conduire à la case prison. Accusé d'avoir filé à plus de 220 km/h sur les routes de Meurthe-et-Moselle et localisé grâce à une vidéo de ce prétendu exploit publiée sur YouTube, un jeune homme de 26 ans a nié vendredi les faits qui lui sont reprochés lors de sa comparution devant le tribunal correctionnel de Nancy. Le parquet réclame trois mois de prison avec sursis, l'annulation du permis de conduire avec interdiction de le repasser avant un an et mille euros d'amende. Une piqure de rappel pour ceux qui pensent que l'anonymat favorisé par Internet permet d'agir en toute impunité ?

Se réclamant de célébrités telles que le Prince Noir, connu pour avoir bouclé à moto le tour du périphérique parisien en une dizaine de minutes, quelques internautes utilisent les sites de partage de vidéo en ligne tels que YouTube ou Dailymotion pour publier leurs soi-disant exploits motorisés. En avril dernier, un agent de police tombe par hasard sur une vidéo YouTube dans laquelle un jeune homme de 26 ans est filmé au volant de sa voiture en train de filer à plus de 220 km/h sur une route de Luneville, où la vitesse est théoriquement limitée à 110 km/h.

Intitulée "En retard", cette séquence montre également le chauffard flirter avec les 100 km/h alors qu'il circule dans une agglomération. En quelques semaines, la police parvient à identifier un suspect en recoupant les informations relatives au compte utilisé sur YouTube, associées à un certain "Loïc", à celles qui figurent sur la vidéo, à commencer par le modèle de véhicule utilisé et une fêlure caractéristique du pare-brise.

"Ce n'est pas moi", "je ne me reconnais absolument pas", a déclaré à la cour l'accusé, dont les propos sont rapportés par l'AFP. "Le pare-brise présente une fêlure, or la voiture du prévenu a eu son pare-brise changé en mai 2005. C'est en outre l'un de ses amis qui a mis la vidéo en ligne. Et ces deux jeunes habitent près de Lunéville, où l'infraction a été commise", a pour sa part fait observer le parquet.

L'avocat du jeune homme a de son côté dénoncé le manque de preuves tangibles : "Comment peut-on raisonnablement fonder une poursuite et a fortiori entrer en voie de condamnation sur la base d'une vidéo dont l'origine est inconnue ? Personne de la police n'a rien vu directement", s'est-il indigné. La défense plaide donc la relaxe. Le tribunal rendra son verdict le 1er février prochain.
LoadingChargement en cours