IBM, Verisign et Microsoft accueillent Sun dans leur projet de sécurisation des services Web, WS-Security. Les trois sociétés ont par ailleurs soumis à l'OASIS le fruit de leur travail.
...
WS-Security, qui devrait garantir la confidentialité des opérations de règlement sur le Net, vient par ailleurs d'être présenté à l'OASIS (Organization for the Advancement of Structured Information Standards), un consortium international oeuvrant pour le développement et l'adoption de standards destinés à permettre une utilisation effective de solutions e-business dans les domaines de la sécurité, des services Web, de XML, des transactions commerciales, etc. OASIS se propose par ailleurs de définir un standard XML nommé WSRP (Web Services for Remote Portals) permettant l'utilisation de services Web Plug-and-play grâce à une interface utilisateur ad hoc.
...

Un cookie doté d'un script qui se déclenche à distance. Une balise HTML qui permet à un assaillant de lancer un programme localisé sur le disque dur de l'utilisateur. Telles sont les deux nouvelles failles découvertes dans les versions 5.01, 5.5 et 6.0 d'Internet Explorer que Microsoft s'empresse de combler avec un nouveau correctif.

security experts believe Windows Media Player could soon be targeted by malicious virus writers who are now all but shut out of attacking another Microsoft product, Outlook 2002.
They have discovered that the program allows malicious hackers to easily bypass Outlook's new security features, which block delivery of dangerous e-mailed attachments and turn off active scripting by default. A downloadable security update from Microsoft adds the same protections to Outlook 2000.

La dernière trouvaille des éditeurs antivirus est un virus-ver, inoffensif dans ses effets, qui profite d'une faille d'Internet Explorer pour se répandre rapidement via MSN Messenger. Finalement, cette bestiole a même un effet pédagogique.

Menger est un ver ciblant spécifiquement les utilisateurs d'Internet Explorer et de MSN Messenger. Il se présente sous la forme d'un message court reçu par mail ou par tout autre moyen, incitant l'utilisateur à cliquer sur l'adresse d'un site internet généralement hébergé chez un hébergeur gratuit.

MSN Messenger est un petit logiciel qui permet de communiquer avec des collègues en faisant du clavardage (bavardage au clavier) par Internet. Le virus se transmet à l'insu de l'utilisateur de ce logiciel et demande à ses correspondants de cliquer sur un lien Internet. En cliquant sur cet hyperlien, l'utilisateur contamine son poste et transmet un message d'infection à tous ses collègues de clavardage en ligne.

Un correctif de IE permet de stoper la propagation du virus.

Une très bonne alternative à MSN est d'utiliser Yahoo Messenger par exemple moins lié à IE, et donc plus sécure.

Créée en septembre dernier à l'initiative de Sun et réunissant plus d'une trentaine de partenaires en vue de développer une solution d'identification en ligne concurrente du service Passport de Microsoft, la Liberty Alliance prend forme. Sun annonce en effet les premières solutions produits pour mars. Le constructeur a d'ores et déjà déclaré qu'il comptait intégrer certaines technologies issues de la Liberty Alliance dans iPlanet Directory et Portal Server products.

Des failles de sécurité ont été mises à jour dans Oracle 9i, le produit phare de l'éditeur de bases de données. Un coup dur pour ce dernier qui l'avait présenté comme "incassable" à travers une campagne publicitaire tapageuse.

Scott Charney prendra ses fonctions le 1er avril prochain au sein du département "Sécurité" de Microsoft. Ce diplômé en droit a travaillé pour l'administration américaine, notamment pour le DoJ et le FBI, et comme expert chez PriceWaterhouseCoopers. Il succède à Howard Schmidt, lui-même ancien agent du FBI.

Une faille de sécurité affecte les versions de Netscape de la 6 à la 6.2, permettant d'accéder très simplement aux cookies stockés par le navigateur. Netscape, qui a admis la présence de la faille, encourage ses utilisateurs à passer à la version 6.2.1. Mozilla est également touché.

Passport, le service d'identification en ligne de Microsoft, se retrouve encore une fois sous le feu des critiques. L'Electronic privacy information center (Epic) adresse une lettre aux procureurs généraux des cinquante Etats américains en leur demandant d'enquêter sur les violations de la vie privée liées au service. Et comme pour l'illustrer, un bogue a justement touché le système en début de semaine.

Victimes d'attaques virales à répétition et de failles de sécurité en cascade, les applications de Microsoft semblent perdre de leur crédibilité aux yeux des utilisateurs. Gênant à quelques semaines du lancement de .Net, la plate-forme de services en ligne concoctée par l'éditeur. Pour redresser la barre du navire, le capitaine Bill Gates rappelle à l'ordre ses troupes en leur enjoignant à mettre le cap sur la sécurité. Il était temps !

C'est quand même étrange pour une société comme Microsoft de se préoccuper de sécurité à trois semaines d'un nouveau lancement. Une société sérieuse étudie généralement le problème à la conception du produit. Pas à sa livraison.

L'expert en protection des données personnelles Richard Smith dénonce la présence d'un identifiant unique lié au Windows Media Player qui peut être récupéré sur une page Web, que l'internaute utilise Internet Explorer ou Netscape, et ceci même si le Media Player n'est pas lancé. Heureusement, cet identifiant unique peut être désactivé.

Une nouvelle fois, le butineur Internet de Microsoft révèle une de ses failles. Particularité de la dernière en date : un pirate malveillant peut en tirer parti avec une facilité déconcertante. La mise à jour est plus que recommandée. IE 5.5 SP2 et IE 6 sont concernés.

Depuis un an, une application de Microsoft est chargée de dénicher sur la toile les sites qui offrent des téléchargements de logiciels piratés. Outre l'automatisation des mises en demeure, ce logiciel chasseur repère les récidivistes.

En n'intégrant pas à IE une règle de sécurité simple et utilisée depuis longtemps, Microsoft a laissé une porte grande ouverte aux pirates. C'est en tout cas l'avis d'un chercheur indépendant, relayé par le site SecurityFocus.

Il n'est pas bien méchant et son mode de réplication devrait limiter sa propagation. Le virus SWF/LFM-926 se distingue de ses congénères par le fait qu'il est le premier à s'attaquer au format Flash de Macromedia. Sa carrière devrait être brève mais son existence montre l'acharnement des auteurs de virus à s'attaquer à toutes les plates-formes.

En n'intégrant pas à IE une règle de sécurité simple et utilisée depuis longtemps, Microsoft a laissé une porte grande ouverte aux pirates. C'est en tout cas l'avis d'un chercheur indépendant, relayé par le site SecurityFocus.

IIS is significantly more vulnerable than other Web servers because it ships with so many by-default-enabled features and because so many of these features pass user input to services with system-level access. A successful attack on IIS is significantly more damaging than with other Web servers.

To see for ourselves how long a default installation of IIS would last in the wild, eWeek Labs connected a fresh install of Windows 2000 Server to the outside Internet. As an arbitrary deadline, we immediately started downloading the network install of Windows 2000 Service Pack 2 and disconnected from the network when it was done.

The 110MB download took 25 minutes. For the first 15 minutes, we didn't see any HTTP traffic at all; in the last 10 minutes of the download, we were infected with Nimda twice once from two different servers and several times by our own server reinfecting itself.

Encore une faille de sécurité dans Internet Explorer. Découverte par le consultant Georgi Guninski, ce trou de sécurité donne accès aux fichiers du disque dur local d'un utilisateur. Une réminiscence d'un précédent bogue visiblement mal corrigé par Microsoft.

Aliso Viejo, l'expert de la société californienne Eeye Digital Security à l'origine de la découverte, n'y va pas de main morte. Il s'agit selon lui «du pire défaut de sécurité jamais découvert dans Windows», a-t-il déclaré à notre rédaction américaine. Il critique, par ailleurs, le travail de Microsoft qui, selon lui, a réalisé trop rapidement le nouvel OS, sans prendre toutes les assurances nécessaires.

Les prochaines versions des applications Microsoft pourraient interdire définitivement la copie illicite. Le WPA nécessitera une clé d'activation fournie par Microsoft après installation de l'application et son référencement sous un numéro unique généré dynamiquement. La prochaine version d'Office sera la première application à "bénéficier" de ce système de protection.

Microsoft vient de reconnaître que la fonction d'enregistrement en ligne de Windows 98 pouvait être utilisée pour obtenir des informations sur les utilisateurs. L'éditeur va corriger ce qu'il présente comme un bug.

Vous pensiez qu'un fichier Word créé sur votre PC personnel était complètement anonyme ? Pas forcément. Microsoft vient d'admettre que la procédure d'enregistrement de Windows 98 pouvait servir pour identifier plus tard avec précision l'auteur d'un fichier créé avec la suite Office !