En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 29/03/2017
    Documation 2017, les 29 et 30 mars

    Documation 2017 fera la part belle au « Digital Workplace »,selon l’angle de la sécurité, de la mobilité, du…

    en détail En détail...
  • 07/03/2017
    ROOMn, au cœur de la transformation digitale des entreprises, du 7 au 9 mars 2017

    ROOMn est la seule rencontre d’affaires qui rassemble pendant 3 jours 800 décideurs au profit…

    en détail En détail...
Elo_documation2017_leaderboard

Kaspersky répare une faille dans ses solutions antivirus exposant les utilisateurs à des attaques man in the middle

Comexposium_roomn_pave

Le mécanisme de validation des certificats des solutions s’appuie sur des signatures de 32 bits faibles, révèle fin octobre l’un des chercheurs de sécurité les plus compétents de Google Project Zero, Tavis Ormandy. Depuis, Kaspersky a réparé la faille.

Tavis Ormandy s’aperçoit fin octobre d’une faille critique dans la fonctionnalité d’inspection du trafic SSL / TLS utilisée par Kaspersky Anti-Virus pour détecter les menaces potentielles cachées dans les connexions chiffrées. Une vulnérabilité qui désactive la vérification de certificat. Ce qui signifie que les hackers sont capables de faire passer des sites comme digne de confiance ou réaliser des attaques dites de  « l’homme du milieu » (man in the middle attacks ou MITM), qui interceptent les communications. « Ce rapport de bug sera révélé publiquement si un patch n’est pas largement disponible dans les 90 jours », prévient Tavis Ormandy. Le 1er novembre, Kaspersky fait savoir qu’il confirme le bug et qu’il le corrigera dans un avenir proche. Le 28 décembre, c’est réparé.

Kevin Bocek

Kevin Bocek

« Le problème me rappelle le « Superfish » de Lenovo – ce logiciel sur votre ordinateur exécute MITM et peut facilement être utilisé par des personnes malveillantes- . Il s’agit encore une fois d’un rappel sur la façon dont les clés et les certificats peuvent être mal utilisés : ils peuvent faire passer des sites comme dignes de confiance alors qu’ils ne le sont pas et intercepter des communications privées, explique Kevin Bocek, Chief Security Strategist chez Venafi. Malheureusement, les professionnels n’ont pas les outils ou la visibilité nécessaire pour protéger les clés et les certificats, les hackers ont alors les pleins pouvoirs. S’ils volent des centaines de millions de dossiers comme avec Yahoo! ou s’ils trompent les systèmes de sécurité gouvernementaux pour faire accepter de faux sites web, le pouvoir des clés et certificats pour activer le chiffrage et établir ce qui est censé être digne de confiance est une arme très puissante contre les attaques informatiques ».

Auteur : Juliette Paoli

Notez cet article

Laisser un commentaire

Avec SharePoint, Office 365 et la solution Mozzaik365, développez la productivité de votre organisation !

Webinar - Jeudi 9 mars 2017 à 11h

Info & inscription

Sondage

Vos projets Démat et GED en 2017

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Droit à la déconnexion : quels impacts sur les chartes informatiques ?

    Depuis le 1er janvier 2017, tout salarié bénéficie d’un droit à la déconnexion en application…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Communications mondiales : pourquoi le développement des câbles sous-marins n'aura de cesse d'augmenter

    Jim Poole, vice-président, développement des écosystèmes chez Equinix, explique les bénéfices des câbles sous-marins pour les…

    > En savoir plus...
Etudes/Enquêtes
  • Security Operation Centers (SOC) : 82 % d’entre eux laisseraient les entreprises vulnérables

    Personnels, processus, technologie... : la très grande majorité des solutions SOC ne seraient pas suffisamment matures…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
PAN_livre blanc guide_skyscrapper
Agenda
livres blancs
Les Livres
Blancs
  • La réussite d’un projet ERP relève de la responsabilité de la direction générale

    > Voir le livre
  • Un regard neuf sur la gestion des coûts de stockage des données archivées

    > Voir le livre
Elo_documation2017_skycraper