septembre 19th, 2008

Le bulletin d’alerte de VMWare précise que certaines des 6 failles corrigées ce jour sont considérées comme « critiques ». C’est le cas notamment du problème affectant openwsman pour ESX et ESXi 3.5. Les autres correctifs sont en fait des mises à jour de libpng, bind, net-snmp, et Perl.

Alors que tous les yeux sont tournés en direction de VMWorld, Microsoft prévient discrètement que la prochaine édition de Microsoft Desktop Optimization Pack (MDOP) entre en phase RTM (Ready To Manufacture… l´ultime étape avant la commercialisation).

Mdop est un ensemble plus qu´imposant d´outils de gestion et de déploiement d´application. Cela commence avec Application Virtualization 4.5, anciennement Softgrid, architecture combinant des fournitures d´applications via TSE (écran-clavier déporté) ou par le biais de téléchargement partiel d´applications dans l´espace mémoire du poste de travail. Gravitant autour de cette infrastructure de virtualisation, l´on retrouve les « Asset Inventory Service » chargés des inventaires d´applications, les « Advanced Group Policy Management » 3.0 destinés à… gérer les GPO, l´un des supplices les plus raffinés qu´ait pu infliger Windows Server à ses administrateurs, une boîte à outils « Diagnostics and Recovery » et enfin le « System Center Desktop Error Monitoring ». A ces programmes consacrés au transport et à l´administration des logiciels d´entreprise, s´ajoute également une suite d´accessoires de déploiement.

Dans le courant de 2009, la suite Mdop devrait rapidement inclure un « Enterprise Desktop Virtualization », fruit du développement de la société Kidaro, absorbée par Microsoft en mars dernier.

On est toujours trahi par ceux que l’on aime. Robert Graham d’un côté, Paul Roberts de l’autre, déroulent le film du hack du courriel Yahoo mail du Gouverneur de l’Alaska. Et la recette était simple… d’une part l’obtention de l’adresse de messagerie dans les colonnes du Washington Post , de l’autre, la récupération sur Google des réponses nécessaires à la procédure de récupération d’un mot de passe oublié : lieu de naissance, code postal… et surtout lieu de la première rencontre de Sarah et de Todd, l’homme de sa vie… ce n’est plus du hack technique, mais du social engineering à la sauce « Points de Vue et Images du Monde » rondement mené.

Cette fois-ci, Google était complice. Demain, une autre aventure de ce genre pourrait bien compromettre Linkedin, Yahoo Groups, FaceBook ou Blogger. Mais l’abyssal manque d’imagination de ce Gouverneur Républicain entre également dans l’équation du calcul de risque. Qui donc répond encore naïvement aux « questions de repêchage » d’un Yahoo ou d’un Live ID ? A la demande « Quel est le prénom de votre mère », il est d’usage de répondre par un très improbable mais inoubliable Cunégonde ou Félicie, et l’on se demande pourquoi une concitoyenne des Marx Brothers n’a pas répondu « préférée » à l’interrogation « quelle est votre couleur préférée ». Le non-sens et l’humour seraient-ils plus Démocrates que Républicains ?

Encore un vol de numéros de cartes de crédit aux USA. Cette fois, c’est Forever 21, chaîne de magasins de vêtements, qui s’est fait dévaliser. L’alerte a été donnée par la police, nous apprend le communiqué du distributeur, suite à l’arrestation de trois hackers qui écumaient notamment la région de Fresno. 11 autres commerçants auraient également été victimes de ces pirates… ce qui laisse penser que l’on a à faire une nouvelle fois à un gang spécialisé dans l’intrusion des réseaux sans fil. Au total, près de 100 000 numéros de cartes, dates d’expiration et « autres renseignements » auraient été dérobés mais, insiste le vendeur, sans les noms des porteurs. En outre, plus de la moitié des numéros récupérés appartiendraient à des cartes expirées. Ce qui fait tout de même 50 000 identités bancaires potentiellement exposées.

Ce fait-divers, largement couvert par la presse anglo-saxonne, ne représente pas même 10% du piratage du réseau TJX. Bien que se drapant dans une dignité toute faite de certification PCI (Payment Card Industry Data Security Standard) et de conformité aux normes de sécurité, Forever 21 ne chiffrait manifestement pas le contenu de ses archives comptables.