En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 07/03/2017
    ROOMn, au cœur de la transformation digitale des entreprises

    ROOMn est la seule rencontre d’affaires qui rassemble pendant 3 jours 800 décideurs au profit…

    en détail En détail...
  • 21/03/2017
    Salons Solutions RH 2017

    Le salon des outils et services dédiés aux dirigeants d'entreprises, aux responsables des Ressources Humaines,…

    en détail En détail...
Appels d'offres en cours
  • Graphiste/Designer pour une société spécialisée dans les enseignes lumineuses
    A déterminer €
    > En savoir plus
  • Refonte de site Internet ( fabrication et commercialisation de colliers de serrage)
    < 10 000 €
    > En savoir plus
  • Développement spécifique sous Symfony 3
    < 8 000 €
    > En savoir plus
BAN_PHONEFLEET_CONTROLER_728X90

Kaspersky répare une faille dans ses solutions antivirus exposant les utilisateurs à des attaques man in the middle

itrust_reveelium_pavé

Le mécanisme de validation des certificats des solutions s’appuie sur des signatures de 32 bits faibles, révèle fin octobre l’un des chercheurs de sécurité les plus compétents de Google Project Zero, Tavis Ormandy. Depuis, Kaspersky a réparé la faille.

Tavis Ormandy s’aperçoit fin octobre d’une faille critique dans la fonctionnalité d’inspection du trafic SSL / TLS utilisée par Kaspersky Anti-Virus pour détecter les menaces potentielles cachées dans les connexions chiffrées. Une vulnérabilité qui désactive la vérification de certificat. Ce qui signifie que les hackers sont capables de faire passer des sites comme digne de confiance ou réaliser des attaques dites de  « l’homme du milieu » (man in the middle attacks ou MITM), qui interceptent les communications. « Ce rapport de bug sera révélé publiquement si un patch n’est pas largement disponible dans les 90 jours », prévient Tavis Ormandy. Le 1er novembre, Kaspersky fait savoir qu’il confirme le bug et qu’il le corrigera dans un avenir proche. Le 28 décembre, c’est réparé.

Kevin Bocek

Kevin Bocek

« Le problème me rappelle le « Superfish » de Lenovo – ce logiciel sur votre ordinateur exécute MITM et peut facilement être utilisé par des personnes malveillantes- . Il s’agit encore une fois d’un rappel sur la façon dont les clés et les certificats peuvent être mal utilisés : ils peuvent faire passer des sites comme dignes de confiance alors qu’ils ne le sont pas et intercepter des communications privées, explique Kevin Bocek, Chief Security Strategist chez Venafi. Malheureusement, les professionnels n’ont pas les outils ou la visibilité nécessaire pour protéger les clés et les certificats, les hackers ont alors les pleins pouvoirs. S’ils volent des centaines de millions de dossiers comme avec Yahoo! ou s’ils trompent les systèmes de sécurité gouvernementaux pour faire accepter de faux sites web, le pouvoir des clés et certificats pour activer le chiffrage et établir ce qui est censé être digne de confiance est une arme très puissante contre les attaques informatiques ».

Auteur : Juliette Paoli

Notez cet article

Laisser un commentaire

Révolution numérique dans l’industrie : colloque 24 janvier, Paris

Panorama énergétique mondial 2016 - Débats avec des experts du digital dans l’industrie : quels impacts dans les secteurs de l'énergie et des transports ? Espace Saint-Martin, de 14 h à 17 h 30

Info & inscription

Sondage

Vos résolutions pour 2017

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • NIS : adoption de la directive européenne sur la cybersécurité, harmonisation en vue ?

    Pourquoi une directive sur la cybersécurité ? Quelles sont les nouvelles obligations ? Et que peut-on reprocher…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • L’avenir du stockage en 2017 selon Gabriel Chaher, VP Global Market Development de Quantum

    Du stockage pour les données des véhicules autonomes aux solutions hautes performances optimisées pour la…

    > En savoir plus...
Etudes/Enquêtes
  • Gestion des correctifs : près de 44 % des entreprises y passent plus de 16 h par mois

    Shavlik et AppSense ont interrogé pendant le VMworld Europe 2016 les responsables IT, au total…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
BAN_PHONEFLEET_CONTROLER_160x600
Agenda
livres blancs
Les Livres
Blancs
  • Guide pratique Advanced Thread Protection (ATP)

    > Voir le livre
  • Gouverner à l’ère du numérique : Le guide de la cybersécurité pour les dirigeants d’entreprises

    > Voir le livre
BAN_PHONEFLEET_CONTROLER_160x600