CERTA
|
CERTA Centre d'Expertise Gouvernemental de |
 |
|
Affaire suivie par : CERTA Objet : Bulletin d'actualité
2010-25
Gestion du documentLe bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-025.pdf Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-025/ 1 Impression dans les nuagesDepuis quelques mois, plusieurs solutions innovantes dans le monde de l'impression ont fait leurs apparitions : Google Cloud Print, HP ePrint...Que penser de ces nouvelles offres ? 1.1 Les solutionsSur le papier, ces nouvelles solutions d'impression sont prometteuses. L'offre de HP propose d'associer à votre imprimante une adresse de messagerie unique. Ainsi, il devient possible d'imprimer depuis n'importe quel système, n'importe où, en utilisant simplement cette adresse de messagerie. Lors de l'impression, les données sont traitées par un centre de calcul et de mise en forme localisé chez HP. Votre imprimante, obligatoirement connectée à Internet, va « recevoir » le document à imprimer, et faire son travail. L'offre de Google est assez similaire à celle de HP, et propose de lancer des impressions qui vont transiter par le « nuage » Google. Ainsi, tout équipement se voit offrir des capacités d'impression : PDA, téléphone portable, tablet...et cela sans avoir à réaliser la fastidieuse opération d'installation de pilote d'impression, le nuage se chargeant de la mise en forme. 1.2 Et la sécurité ?C'est bien évidemment du coté de la sécurité que les problèmes surgissent...Pour ces deux solutions, les données vont transiter via un environnement non maîtrisé, le nuage...Dans quel pays, par où passent donc nos données ? Quelle est la politique de rétention, d'archivage, d'interception ? Dans le cas de HP ePrint, la confidentialité du transport de l'impression se pose aussi, car l'envoi du mail entre l'émetteur et le nuage se fait en clair, donc est sujet à interception sur l'Internet. Autre point particulièrement critique, votre imprimante, pour pouvoir fonctionner, se doit donc d'avoir un accès sur l'Internet. Comment la sécurité de cet équipement sera-t-elle assurée ? Est-il bien raisonnable d'offrir un accès non maîtrisé à un périphérique aussi sensible de votre réseau, l'imprimante, qui de part sa nature, voit potentiellement passer des documents plutôt sensibles ? Enfin, à titre anecdotique, peut-être devrions-nous nous préparer au SPIP, le Spam Over Internet Printing ? 2 HTTPS partout ?Récemment l'EFF (Electronic Frontier Foundation) a publié sur son site Internet un greffon pour le navigateur Mozilla Firefox appelé HTTPS Everywhere. Le nom alléchant se doit toutefois d'être nuancé au regard du fonctionnement de ce greffon. En effet, l'utilisation HTTPS Everywhere n'est pas la promesse d'une navigation chiffrée permanente sur l'Internet. Ce module a été créé afin de basculer automatiquement sur le protocole sécurisé lorsque ce dernier est proposé par les sites visités et si ces sites ont été référencés dans le plugin. En effet, mis à part la vingtaine de sites déjà intégrés comme Google, PayPal, Twitter, Facebook ou Mozilla par exemple, il est possible, via la création d'un fichier XML contenant des expressions régulières en JavaScript, d'ajouter le site de son choix si une version HTTPS existe. Ces fichiers devront ensuite être stockés dans le répertoire HHTPSEverywhereUserRules situé dans le dossier du profil Firefox. Ce greffon est utile pour automatiser la bascule de la navigation en HTTPS partout où cela est offert et après l'ajout de règles conditionnant ce changement de protocole. Le CERTA rappelle également que l'utilisation d'extensions pour navigateur doit s'accompagner d'un suivi et d'une application rigoureuse des mises à jour. 3 Mise à jour d'OperaOpera Software a publié une mise à jour de son navigateur pour Windows. Dans le descriptif de la version 10.54 d'Opera, plusieurs vulnérabilités sont mentionnées, mais seules deux sont décrites :
Il reste trois vulnérabilités non-décrites par l'éditeur, et pourtant corrigées dans la version 10.54 d'Opera pour Windows et Mac, et dans la version 10.11 pour Linux et FreeBSD. Une de ces vulnérabilités est annoncée comme extrêmement sévère. L'avis du CERTA (CERTA-2010-AVI-274) sera mis à jour lorsque davantage de détails seront transmis. Il reste toutefois conseillé d'appliquer dès que possible cette mise-à-jour du navigateur. Documentation
4 Firefox 3.6.4Cette semaine, Mozilla a sorti une mise à jour pour son navigateur Firefox. Celle-ci corrige plusieurs vulnérabilités permettant notamment l'exécution de code arbitraire à distance. Il est recommandé d'appliquer cette mise à jour dès que possible. Mozilla a également annoncé une nouvelle fonctionnalité intéressante pour son navigateur. Celle-ci exécute maintenant certains modules complémentaires dans un processus séparé. Pour le moment, seuls les plugins Flash, Silverlight et Quicktime sont concernés et exécutés dans un processus nommé plugin-container.exe. Ainsi, si l'un de ceux-ci subit un arrêt inopiné, le navigateur n'est pas concerné et il suffit de recharger la page pour relancer le module en cause. Seules les versions Windows et GNU/Linux du navigateur sont concernées par cette nouvelle fonctionnalité, qui devrait également être présente sous Mac OS avec la version 4 de Firefox.
|
|
||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||
