Télégrammes : La faille Drown méprisée; L'Anssi n'aime pas Tor; Une box fibre pour La Poste Mobile, Microsoft tue Skype for TV
Faille Drown : l'indifférence des services Cloud. Selon les sociétés Netskope et Skyhigh Networks, les services Cloud ne sont pas pressés de corriger la faille Drown. Une semaine après l'identification de cette vulnérabilité du protocole TLS, utilisé dans les sessions HTTPS mais aussi par un grand nombre de serveurs mail, 620 services Cloud sont toujours exposés, selon les constatations de Skyhigh. Soit à peine moins que les 653 services vulnérables constatés juste après la révélation de Drown par des chercheurs. La vitesse de réaction des acteurs du Cloud est bien moindre qu'avec Heartbleed, s'alarme Skyhigh. Netskope, de son côté, évalue à 676 le nombre d'applications Saas toujours exposées à Drown. Pour corriger cette dernière, les administrateurs doivent désactiver le support de SSL v2. Rappelons tout de même que Drown est assez difficile à exploiter par un assaillant, contrairement à Heartbleed.
L'Anssi se méfie de Tor. Dans son bulletin d'actualité du 29 février L'Anssi (Agence nationale de la sécurité des systèmes d'information) appelle à la plus grande vigilance quant à l'utilisation du réseau Tor en entreprise ou en milieu scolaire. Si l'agence reconnaît l'utilité du projet pour rendre plus anonymes possibles ses communications Internet, notamment pour répondre à des besoins de protection de la vie privée pour les particuliers, « cette solution présente également des limites, en particulier du point de vue de la sécurité pour les entreprises et autres organisations ». Et de rappeler que Tor n'est pas infaillible et a déjà fait l'objet de plusieurs types d'attaques et de faiblesses qui ont permis d'identifier la source des échanges. De plus, le réseau d'anonymisation est fréquenté par les cybercriminels, notamment pour « exfiltrer des données sensibles ou créer un canal de communication caché permettant à des attaquants de contrôler des machines infectées ». Tor a ainsi été utilisé par les cyber-rançonneurs dans le cadre d'une campagne de ransomwares. Enfin, l'usage en entreprise du réseau peut servir à contourner les politiques de sécurité de l'entreprise avec les risques de fuite de données inhérents. En conséquence, l'Anssi recommande de détecter, voire bloquer, les communications vers Tor, soit en installant un serveur mandataire (proxy), soit en filtrant les adresses IP des noeuds Tor disponibles publiquement. Une recommandation proche de celle d'IBM qui veut bannir Tor des entreprises.
La Poste Mobile se met au fixe. La Poste Mobile s'attaque au marché du fixe. Et pas n'importe comment. L'opérateur mobile de réseau virtuel (MVNO) se lance directement dans le très haut débit (THD) en s'appuyant sur la «?fibre?» de son fournisseur SFR (par ailleurs co-propriétaire de l'entreprise avec le groupe La Poste). L'opérateur préfère en effet surfer sur un marché du THD en croissance plutôt que sur celui, en recul, de l'ADSL. La Poste Mobile entend ainsi s'appuyer sur 7,7 millions de prises éligibles en THD (de 100 Mbit/s à 1 Gbit/s) de SFR (Numericable-SFR) pour offrir des services d'accès Internet, télévision et téléphonie depuis sa «?Box Fibre?». L'opérateur entend notamment s'appuyer sur 1800 bureaux de postes situés dans les zones couvertes par le réseau de SFR pour déployer son offre. Laquelle sera accessible à partir de 16,99 euros par mois la première année avant de passer à 33,99 euros.
Microsoft va arrêter le service Skype for TV. Lancé en 2010 en collaboration avec plusieurs constructeurs de télévision connectée, le service Skype for TV n'a semble t'il pas attirer les foules. La promesse était pourtant là avec le confort de discuter via Skype depuis son canapé. La firme de Redmond constate surtout que la plupart des personnes ont installé Skype sur leur smartphone et leur tablette. Microsoft préfère donc se cantonner à l'amélioration des autres versions de Skype. La mouture pour la télévision devrait s'éteindre définitivement au mois de juin prochain. Pas de panique pour ceux qui utilisent le service, ils pourront encore s'en servir mais sans avoir de mise à jour.
Sur le même thème
Voir tous les articles Cybersécurité