janvier 12th, 2009

Le tout dernier lot de correctif d’Oracle colmate 9 failles critiques dans Oracle Secure Backup, 2 dans Oracle Application Server et 5 dans WebLogic server. Au total, ce ne sont pas moins de 41 failles qui sont ainsi colmatées. Le week-end des administrateurs et responsables d’applications métier sera inversement proportionnel aux températures normales saisonnières.

Comparativement, le bulletin préliminaire publié par Microsoft semble diaphane. Un seul défaut –critique tout de même- affectant les noyaux de Windows 2000 à 2003 (jugés « importants » sous Vista et 2008 Server). Attention toute particulière apportée aux admins « noyau » qui, durant les deux mois précédents, ont dû faire face à des correctifs hors calendrier un peu mouvementés.

C.A. annonçait, en ce début de semaine, la signature d’un accord visant à absorber le New-Yorkais d’Orchestria Corporation, spécialiste du DLP (data leak prevention, système de contrôle des fuites d’information). En ces temps de « folie DLP » où tout le monde rachète tout le monde, Computer Associates pourrait bien « créer la surprise », comme disent les journalistes sportifs. Car en lisant attentivement le communiqué de l’éditeur, l’on remarque la phrase suivante : « Associée aux technologies de gestion des accès et des identités mises au point par CA , la solution de DLP d’Orchestria permettra de faire de la gestion des accès et des identités une solution complète de sécurité informatique »

En d’autres termes, CA attaque « par la bande », sous prétexte de DLP, le marché de la gestion d’identité de ses voisins et concurrents (et parfois même partenaires) IBM et Oracle. Lesquels, bien que possédant une place plus que confortable dans le domaine de cette gestion d’identité, sont peut-être moins perçus comme des spécialistes de la gestion des échanges et des contenus. Sera-ce l’occasion pour le bras sécurité d’IBM, les géorgiens d’ISS, d’enrichir un peu plus l’offre DLP qui, de manière très schématique, se limitait plus ou moins à l’offre « gestion des identités » de Tivoli ?

Le dernier rapport de l’Itrc, Identity Theft Resource Center américain, montre une très nette augmentation annuelle (+47%) des vols et pertes d’identités déclarés en 2008. Précisons, a vant d’aller plus avant, que ces chiffres et proportions doivent être interprétés avec la plus grande prudence. Dans le courant de l’année, bon nombre d’Etats et de secteurs de l’Administration Fédérale ont commencé à rapporter de telles déclarations de pertes. Si le vol d’identité est effectivement à la mode, il faut aussi prendre en compte l’application croissante des lois d’Etat et des lois nationales qui rendent obligatoire la publication de ce genre de sinistre. Les pourcentages de croissance annoncés sont donc la résultante de deux facteurs très différents.

Mais plus que cette croissance purement statistique, les comptables de l’Itrc dégagent deux tendances très nettes : d’une part, une forte augmentation des fuites de données d’entreprises, et d’autre par une plus grande circulation de l’information concernant ces pertes. L’un étant le corollaire de l’autre. Le fait que l’on accepte de parler de ces sinistres désagréables provoque un effet boule de neige, une sorte de course à la confession qui fait que passent moins inaperçus des accidents jusqu’à présent stockés dans la colonne discrète des « dégâts provoquées par la fatalité ». Les pertes ou vols d’ordinateurs portables durant les déplacements, les erreurs humaines, les employés transportant des données qu’ils ne devraient pas posséder ou qu’ils devraient purger régulièrement, les « fuites involontaires » accidentelles, cet inventaire, tout comme celui de Datalossdb de l’OSF, prend tout en compte, et ne se limite pas aux données « volées » (ce que l’on pourrait attendre d’un organisme baptisé « identity Theft ressouce center »).

Le grand gagnant du palmarès 2008 est une fois de plus, cette année, une banque, le BNY Mellon Shareowner Services, avec 12, 5 millions d’identités évaporées après la perte d’une des bandes magnétiques de stockage, manifestement volée durant un transport. Le contenu de ces bandes n’était pas chiffré. C’est d’ailleurs une des grandes constantes de ce bilan : les données ne sont protégées qu’exceptionnellement. Dans 2,4 % des cas elles sont chiffrées, et protégées par un mot de passe dans 8,5 % des faits relevés.

Fort heureusement, en France, de telles choses n’arrivent jamais.