Archives

Les politiques de sécurité Byod s’assoupissent, voire sombrent dans un défaitisme abyssal, semble prouver une étude commanditée par TekSystem, pourtant un acteur de la partie. Les détails de l’étude montrent pourtant bien que 62 % des directions techniques s’inquiètent du fait que des données d’entreprise sont accessibles de façon anarchique par les collaborateurs. Mais les deux tiers des sondés avouent ne pas avoir appliqué de politique sécurité propre au Byod.

Plus surprenant encore de la part d’un « vendeur de solution », les constats dépressifs suivants. La moitié des personnes interrogées affirment que l’accès permanent aux documents de travail (fichiers, courriel…) grâce à un terminal mobile accroissent leur état de stress, précisément parce qu’il leur est impossible de « décrocher ». Seuls 28% sont indifférents à cet état, et 22% de WANoholics ne se sentent absolument pas stressés. Les deux-tiers des personnes sondées avouent que si elles avaient le choix, elles retourneraient aux méthodes d’antan qui leur permettait d’être véritablement absents en dehors des heures de travail.

Paradoxalement, 60% estiment que les outils de mobilité leur offrent un meilleur contrôle de leur « vie de travail », 28 % pensent a contrario que c’est leur employeur qui hérite de ce pouvoir. Pour preuve, cette implication dans la vie technique des réseaux : 42% alertent, dans l’heure, les services informatiques lorsqu’une coupure de service est détectée… quand bien même cette interruption de service surviendrait en dehors des heures de travail.

L’impact sur les habitudes d’usage est tout aussi important. Le temps passé à travailler sur de tels outils, durant une journée de travail normale, est de 67% sur un ordinateur portable, 25% sur un téléphone intelligent, 8 % sur une tablette. Ces chiffres sont très proches de ceux constatés durant les périodes de loisir (ordinateur portable 61%, smartphone 31%, tablettes 8%).

Selon le Washington Post, la faille iCloud d’Apple aurait été connue depuis le mois de mars . L’inventeur du défaut s’appelle Ibrahim Balic, chercheur en sécurité Londonien

216 des sandwicheries Jimmy John, aux USA, ont été victimes d’un piratage suivi d’un vol d’identités bancaires. De forts soupçons planaient depuis juillet dernier, la chose a été confirmée par la direction de la chaine.

Sévère régression du dernier correctif IOS 8.0.1. Le dernier correctif désactiverait le TouchID ainsi que l’accès aux services cellulaires sur les iPhones 6 et 6 plus. Le retour à une version antérieure du système est assez laborieux et nécessite parfois le passage en mode DFU. Une version 8.0.2 d’urgence sera disponible dans quelques jours affirme Cupertino

Générateur de virus pour non-informaticien : le lab McAfee se penche sur les performances ergonomiques de Spygate , un RAT (remote access tool) développé par un auteur de malware du moyen orient. Même les malwares jouent à la pré-annonce marketing

« N’appliquez surtout pas la mise à jour de FreeDome sur IOS8 » prévient F-Secure. La suite d’anonymisation 2.0.1 de l’éditeur Finlandais destinée aux terminaux mobiles est entachée d’un bug affectant son VPN. Une mise à jour 2.0.2, disponible sur l’Appstore, remplace l’édition fautive.

La chasse aux failles, chez Microsoft, s’adapte au « Cloud first, mobile first ». Une annonce du MSRC précise que désormais, les chasseurs de faille pourront travailler sur les défauts des services en ligne , la « prime au bug » de départ s’élevant à 500 $. XSS, CRSF, failles d’injection, drive by download, élévation de privilège… toute faille est éligible… déni de service excepté

Le hack de Viator, site de réservation et de critiques consommateur dépendant de TripAdvisor, a été piraté, provoquant la fuite de 880 000 identités bancaires complètes et email, ainsi que de 560 000 identifiants/mot de passe/pseudonymes supplémentaires, ces derniers risquant d’être utilisés sur d’autres sites de e-commerce.

Le bulletin d’alerte publié par Viator précise que certains comptes ont déjà fait l’objet d’opérations frauduleuses. L’opérateur demande à ses clients de vérifier attentivement toutes les transactions effectuées sur leurs comptes et recommande de changer d’identifiant et de mot de passe le plus vite possible.

Au lire du communiqué, les informations bancaires ne semblaient pas chiffrées, et rien n’indique qu’il n’en était pas de même quant aux créances d’accès. Nulle information ne transpire également sur le « depuis quand », « durant quelle période » et le « comment » de ce hack. Cette opacité laisse présager le pire quant aux mauvaises pratiques sécurité d’un prestataire pourtant réputé. TripAdvisor est une spin-off du group Expédia fondé originellement par Microsoft.

L’article de Todd Bishop dans Geek’s Wire a fait l’effet d’une bombe : Microsoft supprime la branche Trustworthy Computing initiée par Bill Gates, et dilue ses effectifs et ses moyens d’action dans la division Cloud & Enterprise ainsi que dans le groupe Legal & Corporate Affairs.

Cette évolution paraît assez logique si l’on se reporte au leitmotiv de Satya Nadella, l’actuel patron de Microsoft : Cloud first, Mobile first. Or, tout dans Trustworthy Computing était orienté Windows first. L’on y parlait d’intégration de processeurs d’authentification et certification des processus et des échanges, de TPM (donc de matériel), de diffusion de correctifs (patch Tuesday, silent releases etc.), de chiffrement, de préservation de la vie privée dans le cadre des services Hotmail ou Skype (donc de logiciel et de communications)… une auberge espagnole de la sécurité reposant sur un seul pivot : le système d’exploitation. Même si parfois la logique de cette cartographie pouvait sembler ténébreuse.

En cloudifiant TWC, Nadella envoie une fois de plus un message fort. Plutôt tôt que tard, Windows est appelé à disparaître (noyaux serveurs mis à part, du moins dans un premier temps). La station de travail file à vitesse grand V vers la bureautique « tout virtuel » et le service « tout en ligne »… sécurité des plateformes et certification des échanges y compris. Ce n’est pas seulement la fin de TWC qui vient d’être annoncée, mais également celle de l’informatique « 100% personnelle ».

Bilan moins catastrophique que prévu pour Home Depot, qui avoue la fuite d’environ 56 millions d’identités bancaires. L’hypothèse la plus probable expliquant cette relativement « faible » perte serait due au fait que l’attaque n’a porté que sur les caisses automatiques de la chaine de magasins, estime Brian Krebs.