News

Ecrire un commentaire
Dans une récente étude publiée par le cabinet Dasient, spécialisé dans la sécurité informatique, il apparaît qu'au second trimestre 2010, 1,3 million de sites Internet ont été infectés. Cela représente une croissance de 50% par rapport au trimestre précédent. L'on dénombrerait désormais 200 000 types d'infections différentes contre 142 000 en début d'année.

75% des sites infectés comportaient un widget écrit en JavaScript. C'est par exemple le cas des outils de mesure d'audience tel que Google Analytics. Notons également que 42% de ces sites affichaient de la publicité provenant d'une source externe. Enfin 91% d'entre eux utilisaient une technologie dépassée avec des serveurs non mis à jour. "Dans la mesure où les cyber-criminels n'ont qu'à regarder les failles de sécurité pour ces applications de serveur et utiliser les kits disponibles pour exploiter ces dernières, les sites Internet utilisant un logiciel dépassé peuvent se transformer en un canal de distribution de malware". Typiquement, une version de Wordpress non mise à jour peut donc constituer un danger.

Entre avril et juin 1,6 million de publicités vérolées auraient été générées chaque jour. Le plus souvent ces attaques ont été lancées en fin de semaine, précisément au moment où les services techniques des entreprises ne sont pas en fonction. Une campagne de publicité malveillante dure en moyenne 11,5 jours.

Au second trimestre, 43 000 codes JavaScript et 15 000 types d'iFrame malveillants ont été ajoutés à la base de Dasient. Les injections de JavaScript enregistrent alors une hausse de 19% et représentent désormais 74% des attaques perpétrées (contre 55% un an plus tôt). Il faut dire qu'un code JavaScript peut avoir accès à la barre d'adresse, aux cookies de l'utilisateur, et peut même en créer de nouveaux. A contrario, un iFrame ne peut communiquer avec les autres éléments d'une page web. Les hackers utilisent pour la plupart des domaines en .com, "pour que ceux-ci apparaissent aussi légitimes que possible". Les TDL .cn et .info ont affiché une forte croissance par rapport au premier trimestre.

Lorsqu'un malware est téléchargé, il se glisse le plus souvent dans les dossiers TEMP ou Application Data sur Windows. « Cependant les fichiers exécutables sont parfois copiés dans le répertoire du système", précise les experts. Retrouvez l'étude dans son intégralité ici (anglais).
Ecrire un commentaire
Après de sérieuses rumeurs sur l'opérateur Free, c'est le géant Orange qui sort du bois. L'opérateur explique qu'il va répercuter la hausse de la TVA prévue par le gouvernement. Stéphane Richard, le d-g du groupe vient de donner au Figaro les motifs de cette augmentation du prix du Triple-Play.

Les opérateurs se marquent de près. Déjà, ce mercredi, des rumeurs portaient sur Free qui comptait appliquer une taxe « Baroin-Sarkozy » du fait de l'augmentation de la TVA. Les archives du site FRnOG, montraient des traces de conversations entre certains journalistes et notamment Xavier Niel, le patron d'Iliad. Ce dernier évoquait alors la répercussion d'une taxe autour de 3 euros.

Cette fois, Orange estime que la hausse de la TVA va lui coûter 230 millions d'euros. Le patron du groupe a estimé ne pas pouvoir « faire un cadeau de cette importance ». D'un autre côté, le Stéphane Richard s'avère critique sur cette nouvelle hausse des taxes. Il confie : « Depuis 2008, le secteur des Télécoms supporte déjà quatre nouvelles taxes. En incluant le surplus de la TVA, ces taxes coûteront rien que cette année près de 900 millions d'euros ».

Si Free a évoqué une hausse de 3 euros, Orange n'a pas communiqué sur un nouveau prix pour ses forfaits Triple-Play.

Mise à jour : Pour sa part, Free confirme bien que la hausse de la TVA sera répercutée sur les abonnements. Le FAI attend que les textes de lois précisent clairement la nature de cette augmentation. Il s'agirait d'un surplus de 2 à 3 euros, comme le confirment les propos de Xavier Niel, évoqués dans un précédent article.
Ecrire un commentaire
Il y a eu l'épisode OpenSolaris, abattu en plein vol par le nouveau propriétaire de Sun, Oracle. Il y a eu les déclarations de David McAllister, responsable de l'open-source chez Adobe, qui estimait qu'Oracle avait remplacé Microsoft dans le rôle de l'ennemi de l'open-source. Il y a eu le procès intenté par Oracle contre Google, sur l'utilisation prétendument abusive des brevets sur Java - avec un soutien de la Free Software Foundation à Google, c'est dire l'inquiétude que soulève l'éditeur. Il y a des craintes, sur MySQL par exemple, mais aussi sur Java, de la part de la communauté du logiciel ouvert.

Oracle a décidé de relâcher un peu la pression sur la communauté open-source. Dans un billet de blog officiel, le directeur produit de la plateforme Java chez Oracle, Henrik Stahl, a annoncé qu'Oracle continuera à travailler « avec le code source OpenJDK et la communauté OpenJDK, comme Sun le faisait. Nous continuerons à développer le JDK de façon ouverte, avec une licence GPL. »

Voilà qui pourrait rassurer un peu les développeurs Java, qui utilisent chaque jour le Java Development Kit (JDK). Oracle semble prêt à leur faire cette concession : « Nous accueillons la coopération et les contributions de tout membre de la communauté - individus comme organisations - qui voudront faire partie de l'aventure de la plateforme de développement logiciel la plus largement utilisée. »

L'histoire ne dit pas si les t-shirts de l'inventeur de Java, James Gosling (qui a claqué la porte de Sun lors du rachat), ont pesé dans la décision d'Oracle, ou si l'absence de Google à la conférence JavaOne a eu un impact quelconque.
Ecrire un commentaire
Alors que Yahoo! est en train de mettre à jour l'interface de son webmail, il semblerait que la société ait également prévu de déployer gratuitement la connexion IMAP à l'ensemble de ses utilisateurs. L'information fut publiée sur un fil de discussion créé sur ce groupe.

Pour rappel, le protocole de connexion IMAP permet de consulter ses courriers électroniques depuis un logiciel externe en laissant ces derniers sur le serveur de messagerie. A la différence du protocole POP qui ne vérifie que la boite de réception principale, tous les dossiers seront rapatriés puis synchronisés. Jusqu'à présent, Yahoo proposait l'IMAP sur les smartphones et plus particulièrement l'iPhone, Windows Mobile, BlackBerry et Android. Les paramètres ne fonctionnaient cependant pas via une connexion WiFi. Il est désormais possible de configurer un compte Yahoo! en IMAP au travers d'un logiciel de messagerie classique de type Mail.app.

Parmi les grands acteurs du marché Gmail et AOL proposent également l'IMAP depuis quelques temps déjà. De son côté Microsoft a implementé ActiveSync et met à disposition un plugin pour la messagerie d'Outlook.

Chez Yahoo! l'interface web du webmail reste tout même une priorité. En effet David Karnstedt, un ancien employé de la société, expliquait récemment : « non seulement (Yahoo! Mail) apporte plein de traffic mais embarque aussi la majorité des emplacements publicitaires sur le portail de Yahoo! ». Les paramètres ci-dessous fonctionnent sur les comptes Yahoo! Mail gratuits. Notez qu'il faudra utiliser le port 993 et choisir un mode de connexion sécurisé via SSL.
Ecrire un commentaire
Dévoilé au mois de juin dernier lors du sommet WWDC qui s'est déroulé à San Francisco, iAds est la nouvelle régie publicitaire d'Apple à destination de ses terminaux basés sur iOS. "Tout ce que vous avez à faire, c'est de dire où vous voulez que la publicité s'affiche dans votre application, et de prendre l'argent. », expliquait ainsi Steve Jobs, PDG de la firme de Cupertino. En souhaitant révolutionner le marché publicitaire mobile, Apple proposait une solution directement intégrée aux applications, évitant aux mobinautes de jongler d'une application à l'autre.

Pourtant selon la PDG de Yahoo! "cela ne fonctionnera pas pour eux". Et d'ajouter : « les annonceurs ne voudront pas de ce type de contrôle. Apple veut absolument tout contrôler sur ces publicités". Il faut dire que contrairement autres régies publicitaires, et dans un souci d'intégration avec le système, Apple va même jusqu'à créer le spot publicitaire.

La firme estime que les agences ne sont pas capables ou ne savent pas comment tirer parti des technologies embarquées au sein de l'iOS. Apple n'a d'ailleurs jamais distribué de kit de développement afin d'expliquer clairement les procédures à suivre. Ce contrôle total de la part d'Apple pourrait s'expliquer par l'absence de prise en charge de Flash, une technologie largement répandue chez les annonceurs. La firme craindrait-elle un découragement des annonceurs ne souhaitant pas investir davantage dans une formation technique sur l'usage du HTML5 ?

Quoiqu'il en soit Apple a tout de même signé avec de grands marques comme Nissan, Citibank, Disney ou J.C. Penney.
Ecrire un commentaire
Suite aux informations montrant des failles sur le site de la Cnil, la Commission cherche à rassurer les internautes. Depuis son site, elle communique donc en expliquant que la vulnérabilité constatée a bien été corrigée. La faille XSS permettait l'exécution d'un code javascript au chargement de la page d'agenda.

La Cnil rapporte donc qu'elle avait été alertée par le site Zataz en date du 7 septembre. La fonctionnalité d'agenda comportait des erreurs sur l'affichage SQL et rendait possible des injections XSS (pour du cross-site scripting). Ainsi, une personne mal intentionnée pouvait rediriger un internaute vers d'autres sites.

Pour autant, si la Cnil s'excuse, elle estime que les failles étaient mineures car : « elles ne permettaient pas de corrompre ou de modifier le site de la CNIL. De même, elles ne permettaient pas de récupérer des données personnelles des internautes. Il était techniquement impossible à une personne malintentionnée de laisser une trace résiduelle de son passage ou d'exécuter un programme malveillant par simple consultation de la page ».

Du coup, la Cnil conteste fortement les propos tenus par le Canard Enchaîné qui expliquait que « la base de données du site de la CNIL était grande ouverte ». Enfin, on notera que la Cnil reconnaît de son propre aveu l'existence d'une faille, fait relativement rare en France pour être souligné.
Ecrire un commentaire
Alors que l'Hadopi représente le volet répressif (et pédagogique) de la lutte contre le téléchargement illégal, les acteurs de la chaîne numérique s'interrogent sur la structure que devra prendre l'édition et la production musicale. Alors que l'offre légale de téléchargement tend à se développer, certains s'inquiètent déjà pour l'avenir de la création.

Le syndicat national des auteurs et des compositeurs explique donc que le Code de la propriété intellectuelle est obsolète. Rédigé dans les années 50, il se trouve désormais éloigné des préoccupations « numériques » du marché. Le Snac demande donc « une mise à jour indispensable de la loi afin de redéfinir le rôle et la fonction de l'éditeur et proposer les changements nécessaires à la loi actuelle ». Il prévoit d'interpeller le ministre de la Culture sur le sujet.

Plusieurs thématiques sont alors évoquées notamment sur la « rémunération proportionnelle de l'auteur s'il n'y a plus de prix de vente ou de recettes spécifiques à l'exploitation de l'œuvre elle-même ». De même, la question est posée de savoir « Quelle doit être la durée de cession, juste et équilibrée, des droits au regard de l'édition numérique des oeuvres ». Autant de thématiques qui devront être abordées.

Selon les mots du Snep, la part du téléchargement légal connaît un essor de 12%. Fidèle à lui-même, son responsable milite pour un « changement des usages ». De même, face à cette marche en avant, Cédric Ponsot, Directeur général de Vivendi Mobile Entertainment estime que sur le sujet il est nécessaire « d'avancer à la vitesse de la lumière. Le piratage va très vite, les opérateurs, l'industrie du contenu mais également les distributeurs doivent réagir rapidement. Mais ces trois là ont du mal à se mettre d'accord ».

Responsable du service de téléchargement Zaoza, Cédric Ponsot explique que : « le problème est que les distributeurs sont encore peu nombreux. Apple est un acteur hégémonique, on nous expliquerait en cours d'économie qu'Apple est en situation de monopole sur la musique ». Reste donc à savoir, qui aura, à l'avenir la main sur l'offre légale de musique en ligne.

Toujours est-il que s'il faut refondre un pan entier du système de protection des auteurs, c'est un énorme chantier sur lequel de nombreux acteurs devront travailler. Ils auront alors, qui sait, le secours du président de la République Nicolas Sarkozy. Le chef de l'Etat a estimé récemment : « L'accumulation, générations après générations, de législations produit une cathédrale législative où plus personne ne sait comment on entre - ça ce n'est pas grave - et on ne sait plus comment on en sort - ça c'est plus préoccupant »...
Ecrire un commentaire
Google a licencié un ingénieur qui a eu accès à ses systèmes back-end, après qu'il ait violé les politiques internes de confidentialité. Selon le site US Gawker, l'ingénieur a été débarqué en juillet après avoir accédé à au moins quatre comptes d'utilisateurs. Google a depuis publié un communiqué confirmant cette information.

« Nous avons licencié David [...] pour avoir violé les règles internes de Google sur la confidentialité, » explique le géant. « Nous contrôlons précautionneusement le nombre d'employés qui ont accès à nos systèmes, et nous révisions régulièrement nos procédures de sécurité. » Pour Bill Coughran, vice-président de l'ingénierie (qui a rédigé le communiqué), Google est en train d'augmenter significativement le temps passé sur le passage en revue des fichiers de logs, pour vérifier l'efficacité des contrôles de sécurité.

« Ceci dit, un nombre limité de gens auront toujours besoin d'un accès à ces systèmes si nous voulons les faire tourner correctement - c'est pourquoi nous prenons toute brèche au sérieux, » ajoute Coughran.

Google se dit évidemment engagé en faveur de la protection des données stockées sur ses systèmes - il aurait difficilement pu dire le contraire, mais affirme qu'il craint depuis longtemps la compromission de ces données par un pirate ou par un employé interne déloyal. Plus tôt dans l'année, Google avait révélé que ses systèmes internes avaient été piratés depuis la Chine, et qu'une partie de sa propriété intellectuelle avait été volée.
Ecrire un commentaire
Face au géant communautaire Facebook, cible des malwares et trop souvent victime de son succès, l'équipe de Diaspora ouvrira aujourd'hui son projet open source en version alpha. Ce logiciel reprend plusieurs fonctionnalités classiques de Facebook mais entend s'appuyer sur un système décentralisé, gage d'une meilleure sécurité. Diaspora pourra donc être installé sur le serveur d'une personne ou sur son propre hébergeur mais l'équipe proposera également d'accueillir les membres sur des serveurs pré-configurés avec des mises à jour automatiques.

La plateforme, développée en Ruby, permettra de publier ses messages, de laisser des commentaires ou encore d'utiliser des applications. Pour cette raison, l'architecture principale pourra être complétée d'extensions, un peu à la manière de Worpress. Parmi les fonctionnalités annoncées par l'équipe de développement nous retrouvons le partage sécurisé de fichiers multimédia, l'intégration de services tiers, la prise en charge de la voix su IP, un protocole de messagerie instantanée, une gestion chiffrée des sauvegardes ou encore l'intégration du système d'authentification OpenID.

Cette mouture est premièrement destinée aux développeurs. Une version grand public sera proposée au mois d'octobre. Pour de plus amples informations, rendez-vous ici.
Ecrire un commentaire
Cette fois, rien ne s'oppose plus vraiment à l'envoi d'e-mails de la part de l'Hadopi. Le dernier écueil en date s'avérait être le recours du FAI associatif, FDN (French Data network) devant le Conseil d'Etat. La haute juridiction administrative vient de rejeter le référé.

Retour sur l'affaire. FDN, un FAI français avait lancé une procédure dite de référé-suspension afin d'annuler une partie des décisions portant création de l'Hadopi. Parmi ces textes, les décrets qui décrivent le fonctionnement de la Commission de Protection des Droits ont été émis sans l'avis de l'Arcep. Cette dernière étant un opérateur de Telécom, elle aurait donc dû être consultée.

Le Conseil d'Etat avait donc deux mois pour statuer. C'est désormais chose faite, selon le compte Twitter de turblog (qui avait déjà suivi en direct les audiences). Sur son blog, il explique que « Le décret d'application de la loi HADOPI, la description du volet répressif (1 mail, deux mails, courrier, CPD et compagnie) n'est donc pas suspendu. Il faudra donc attendre le jugement de fond qui, d'après le juge que nous avons vu mercredi dernier, devrait intervenir assez rapidement, sans toute fois pouvoir donner une date précise ».

Concrètement, le décret n'a pas été jugé illégal et la requête a donc été rejetée. Les trois motifs invoqués par FDN n'ont pas été retenus par le Conseil (procédure contradictoire, traitement automatisé de données à caractère personnel et atteinte à présomption d'innocence). Pour autant, il reste un dernier espoir pour le FAI dans le sens où le dossier doit encore être jugé sur le fond (non plus sur la forme du décret).

Malgré ce retard, peu de choses empêchent désormais l'Hadopi d'envoyer ses e-mails, prévus, selon certains, à la fin du mois. Ce dernier baroud d'honneur marque la fin de la mise en place de l'Hadopi, il lui reste désormais à prouver son efficacité.
LoadingChargement en cours