août 21

Un expert a rendu publique une faille qui permet de pirater les comptes Gmail gratuits. Google propose une parade optionnelle. Les entreprises ayant ouvert des comptes payants sont protégées.

La série noire continue pour les comptes Gmail qui donnent accès aux services en ligne de Google, notamment les Google Apps. Après les problèmes de disponibilité rencontrés ces dernières semaines, leur sécurité est aujourd’hui publiquement remise en cause par les experts. Lors de la conférence de sécurité Defcon, qui s’est tenue la semaine dernière à Las Vegas, le chercheur américain Mike Perry a en effet dévoilé une faille du service d’authentification de Google qui permet de pirater des comptes utilisateurs.
Le problème vient de ce que Google ne chiffre que la procédure d’authentification de ses utilisateurs en utilisant temporairement une connexion SSL (Secure Socket Layer ; l’adresse du site commence alors par https).
Une fois l’authentification effectuée, la connexion n’est plus chiffrée. Un cookie (petit fichier texte) est placé dans le cache et sert de sésame pour accéder aux services de Google pendant deux semaines ou jusqu’à ce que l’internaute demande la déconnexion de son compte (ce qui efface le cookie).
Selon Mike Perry, il est possible de récupérer ce cookie grâce à un outil automatisé de sa conception. « La faille n’est pas nouvelle et le risque est limité car l’attaquant doit être capable de modifier le trafic d’un utilisateur à la volée. Il doit donc se trouver sur le même segment réseau afin de réaliser au préalable une attaque man in the middle », explique Raphaël Marichez, expert en sécurité au sein de HSC Consultants. Les réseaux Wi-Fi publics sont théoriquement plus vulnérables à ce type d’attaque, qui nécessite de pouvoir s’intercaler sur le réseau.
Mike Perry prévoit de rendre public, au début du mois de septembre, l’outil qu’il a mis au point afin d’inciter Google et les autres sites qui utilisent cette méthode d’authentification (comme Amazon ou Facebook) à réagir. Préalablement alerté, Google a discrètement ajouté une option à la fin du mois de juillet dernier permettant d’utiliser en permanence une liaison SSL pour accéder à ces services. Il suffit d’aller en bas de la rubrique « Général » du menu « Paramètres » pour l’activer.
Le « tout https » représente une charge pour Google, pas pour les utilisateurs
« L’inconvénient de l’https est qu’il peut rendre votre messagerie plus lente. Votre ordinateur a un surcroît de travail avec le chiffrement des données et celles-ci ne voyagent pas aussi rapidement sur Internet que des données non chiffrées. C’est pourquoi nous vous laissons le choix », expliquent aujourd’hui les développeurs de Google sur leur blog dédié à la sécurité. Google préconise ainsi l’activation du full https en priorité aux utilisateurs qui accèdent aux services Google par l’inermédiaire de hot spots Wi-Fi.
Pour Sylvain Roger, consultant en sécurité chez Solucom, ce discours est un peu biaisé. « Le ralentissement s’observerait surtout si les utilisateurs basculaient tous en full https car cela demanderait des investissements importants en infrastructure de la part de Google », explique-t-il.
Jusqu’ici la possibilité de chiffrer toutes les connexions en SSL était réservée aux entreprises ayant souscrit un abonnement payant aux Google Apps (Edition Premier). Cap Gemini, qui distribue les versions payantes de Google Apps, nous confirme d’ailleurs ne pas être affecté par la faille. « Il est dommage que Google ait attendu la présentation de Mike Perry pour généraliser le full https aux versions gratuites de Google Apps », résume Sylvain Roger.

sept 19

OpenOffice.org a lancé le projet de porter cette version X11 en natif Aqua, c’est-à-dire avec les boutons, les barres et les menus Aqua, et le look and feel de Mac OS.
La version actuelle d’OpenOffice pour Mac OS X requiert le logiciel « serveur X11 ». Cette version n’a pas été développée pour s’intégrer spécifiquement à l’environnement graphique de Mac OS X. La version « Aqua » (ou native) d’OpenOffice permettra de se passer du serveur X11 et offrira une meilleure intégration au système. Pour cette nouvelle mouture on parle donc d’une nouvelle interface graphique plus adaptée, d’une meilleure intégration avec le Finder, de la possibilité de copier/coller des contenus provenant d’autres applications, de la capacité de pouvoir employer les raccourcis de Mac OS, d’utiliser le dictionnaire de Mac OS ou bien encore d’un plugin Spotlight pour simplifier les recherches.
OpenOffice Mac OS X Aqua devrait être compatible avec les systèmes 10.4 (Tiger) et 10.5 (Leopard) Intel/PPC.

sept 13

FileZilla est un client FTP tout ce qu’il y a de plus classique, avec de nombreuses options et une ergonomie excellente. Coté sécurité, on appréciera notamment la possibilité qu’aucune trace de vos mots de passe ne soit conservée sur votre ordinateur. De même, une authentification sera demandée pour chacun des serveurs.La version 3.0 a fait l’objet d’une réécriture complète du code, pour devenir complètement multi-plateforme : le logiciel est en effet disponible à la fois pour Windows, Mac OS X et Linux. On retrouve à l’intérieur de chaque système la même interface et les mêmes fonctions.
Parmi les autres nouveautés, une présentation plus explicite, en différents onglets, des opérations en cours, réussies, ratées.
Les autres fonctions majeures du logiciel sont la prise en charge des protocoles sécurisés, la reprise de transferts interrompus, la gestion des fichiers supérieur à 4 Go, l’annuaire de sites…

Téléchargements:
Windows Linux MacOs X Intel MacOs X PPC

sept 07

Ce vendredi on vous propose une video de l’emission “Plein Ecran 2.0″ (LCI), datant du 15 juin 2007, qui explore le monde merveilleux du logiciel libre. Linux, Firefox, OpenOffice, Ubuntu et les autres gagnent en popularité, en parts de marché aussi. On en parle avec Alexandre Zapolsky, organisateur de ” Paris, Capitale du Libre “, Tristan Nitot, président pour l’Europe de la Fondation Mozilla, Olivier Ezratty, Consultant en stratégie de l’innovation (et ex-Microsoftee), et Emmanuel Paquette, des Echos Innovation.