Powered By Blogger

Rechercher sur ce blogue

mardi 14 juillet 2015

10 défaillances majeures qui touchent les Scada

Sécurité : Le cabinet Lexsi livre les points clés qui doivent permettre aux industriels de mieux se protéger en matière de sécurité informatique. Des OS obsolètes aux problèmes de mot de passe, le tour de ce qui pose problème aujourd'hui.


Quelles sont les défaillances majeures qui touchent les systèmes industriels ? Le cabinet de conseil Lexsi répond en 10 points afin de prendre la mesure des risques des systèmes SCADA. Un pourcentage d’exposition est livré pour chaque thématique.
Les OS et firmware obsolètes et non mis à jour sont la menace la plus importante, avec 93% d’exposition. Des OS obsolètes tels que Windows XP, Windows 2000 voire NT4 sont encore très présent dans le monde industriel explique Lexsi. D’où des risques de compromissions instantanées des équipements et de rebond de l’exploitation des failles de sécurité sur d’autres périmètres.
Suit la non sécurisation des protocoles couramment utilisés (FTP, Telnet, VNC, SNMP…). Conséquence : le risque de vol de login/mot de passe, des connexion illégitimes aux serveurs, des attaques hors ligne ou encore des dénis de service par modification des configurations réseau… Lexsi recommande sur ce point l’utilisation de protocoles sécurisés tels que SFTP, SSH, SNMPv3 et de durcir la configuration des serveurs VNC. Là aussi le taux d’exposition est de 93%.
En troisième position, on trouve l’absence d’outils de surveillance des systèmes (sondes de détection/prévention d’intrusion) couplé au manque de centralisation et d’analyse des journaux systèmes. Les risques sont l’incapacité à détecter des signaux faibles d’attaques de type APT ou les attaques de force brute. Là encore le taux d’exposition est de 93%.
 
Système de contrôle industriel tel que décrit par Lexsi. Le réseau Scada contrôle et permet l'accès à l'ensemble des sous-systèmes (Crédit : Lexsi)
Quatrième du classement, l’interface utilisateur connectée en permanence, soit via un compte admin, ou une session Windows restée ouverte sur un poste de travail. Lexsi recommande la mise en place d’un timeout de la session sur le logiciel de supervision pour un verrouillage automatique ou encore la connexion à l’applicatif via une smart-card ou token-USB. Le taux d’exposition est ici de 92%.

Manque de veille et absence d'antivirus

En cinquième position, Lexsi dénonce le manque de veille de sécurité, avec un taux d’exposition de 90%. Dans ces conditions, difficile de détecter de nouveaux signaux d’alerte et d’effectuer une bonne remontée des informations. Le risque étant bien sûr de passer totalement à côté de la dimension sécurité dans la conception des projets Scada. Le cabinet propose d’initier une démarche de veille à partir de sources d’information ciblées. Et de citer Différentes sources d’informations sur les failles (CERT-FR, ICS-CERT, SIEMENS ProductCERT) ou encore des blogs et des mailing list tells que scadastrangelove, digital bond,tofino, et scadahacker.com
Arrive ensuite l’absence d’antivirus, avec un taux d’exposition de 90%. Lexsi cite des cas où les antivirus ne sont installés ni sur les serveurs ni sur les postes de travail. Conséquence : identification dans 50% des cas de la présence du vers Conficker sur des postes de supervision industrielle.
Pour finir, Lexsi cite l’interconnexion non sécurisée des systèmes de gestion avec les systèmes industriels (taux d’exposition de 89%), la mauvaise gestion des comptes (usage d’identifiant par défaut, mots de passe trop faibles ou inexistant ,…) avec un taux d’exposition de 87%, l’absence de tests de sécurité (86% de taux d’exposition) et pour finir des plateformes de développement non sécurisées (86% de taux d’exposition).

L’étude réalisée par Lexsi porte sur une durée de 4 ans, et concerne 50 de ses 500 clients sur la base d’un référentiel représentatif et contenant des acteurs du CAC40 ou équivalent.
Sujet: Sécurité

samedi 11 juillet 2015

Le rat-taupe n'a jamais le cancer et vous ?

Finalement, la découverte du mécanisme cellulaire qui protège le rat-taupe, un rongeur à la longévité exceptionnelle, contre le cancer fait rêver à l’éradication éventuelle de cette maladie chez l’humain.
 L'Hétérocéphale (Heterocephalus glaber), aussi appelé Rat-taupe nu ou Rat-taupe glabre est la seule espèce du genre Heterocephalus et de la sous-famille des Heterocephalinae. C'est un petit rongeur présent en Afrique de l'est (Somalie, Kenya, Éthiopie) et remarquable sur plusieurs points dont son organisation sociale, sa régulation de température limitée, sa capacité de reproduction, sa résistance aux maladies (cancers...) ou encore sa longévité qui peut dépasser 30 ans en captivité.
 
Le rat-taupe nu vit en moyenne une trentaine d'années qui correspondrait à une longévité de 600 ans à l'échelle humaine3[réf. insuffisante]. Les souris, vivent en moyenne 4 ans. Les scientifiques expliquent cette durée de vie exceptionnelle par une immunité du rat-taupe nu contre le cancer, les maladies cardio-vasculaires et la dégénérescence nerveuse.
La résistance au cancer serait due à deux facteurs. D'une part grâce à une adaptation génétique à son environnement souterrain. En effet, le rat-taupe nu produit une grande quantité d'acide hyaluronique qui rend sa peau plus élastique et épaisse et lui évite de se blesser lors de ses activités dans les tunnels4. La relation entre la forte concentration d'acide hyaluronique et l'absence de tumeurs malignes chez le rat-taupe nu est démontrée, en 2013, par Vera Gorbunova et Andrei Seluanov de l'université de Rochester, à New York, dans une étude publiée dans Nature5. D'abord intrigués par l'aspect visqueux des cellules étudiées, ils se sont rendu compte que la masse moléculaire de l'acide hyaluronique présent chez le rat-taupe nu est cinq fois supérieure à celle de l'Homme ou de la souris. Cette substance agit comme une sorte de cage autour des molécules de la matrice extracellulaire et isole ainsi le développement de tumeurs potentielles6. Afin de vérifier leurs hypothèses, les chercheurs ont séquencé le génome du rat-taupe nu dans le but d'isoler le gène responsable de la production d'acide hyaluronique et ensuite d'en bloquer la production. Une fois la production stoppée, des tumeurs se développent et le rat-taupe nu n'est plus immunisé contre le cancer7. En second lieu, la biosynthèse des protéines dans les cellules du rat-taupe nu serait presque parfaite, laissant très peu de place à l’erreur8.


Source.:

mercredi 8 juillet 2015

Controverse autour de la sécurité des VPN grand public

Sécurité : Une étude publiée par des chercheurs britanniques et italiens met en lumière les failles de sécurité dont souffrent les offres de VPN grand public, mais celle-ci est largement contestée par les principaux intéressés, qui déplorent une étude obsolète et datée.


Alors que les gouvernements s’efforcent de développer les outils de contrôle et de surveillance du réseau, les VPN, outils qui proposent de sécuriser une connexion et d’anonymiser en partie l’utilisateur, sont en pleine croissance. Mais des chercheurs de l’université Sapienza à Rome et de l’université Queen Mary à Londres ont publié une étude soulignant des failles dans plusieurs VPN commerciaux à destination du grand public.
 
Le bilan établi par les chercheurs est sans appel : tous les services VPN testés sont vulnérables à l'une ou l'autre des failles de sécurité. 
Les chercheurs ont identifié deux failles affectant la plupart de ces services : d’une part, une vulnérabilité nommée IPv6 Leaks, qui prend sa source dans le fait que la plupart de ces VPN ne prennent pas en charge le trafic IPv6 et ne sécurisent pas ce trafic. Une faille de sécurité d'autant plus prégnante que la plupart des OS ont tendance à prioriser IPv6 lorsque cela est possible.
L’autre scénario détaillé par les chercheurs est celui d’une attaque DNS : en interceptant les requêtes DNS de l’utilisateur de VPN, un attaquant peut ainsi retracer l’historique de navigation de sa victime. Les chercheurs ont exposé 14 VPN à ces deux types d’attaques, et aucun des candidats n’a eu droit au sans-faute : tous sont, selon eux, vulnérables à l’une ou l’autre de ces attaques.

La grogne des VPN

Mais l’étude déplaît fortement aux éditeurs VPN ayant servi aux tests menés par les chercheurs. Ainsi, PureVPN a été le premier à dégainer en publiant sur son blog un démenti, qui pointe le caractère inexact et daté de certaines des informations contenues dans l’étude. L’éditeur explique ainsi avoir « depuis longtemps déployé leurs propres serveurs DNS sur leur réseau » ce qui selon eux corriger la faille de sécurité remarquée par les chercheurs.
Même logique pour IPv6leak, la société explique avoir également pris des mesures afin de corriger cette faille de sécurité et conseille à ses utilisateurs de désactiver eux même la prise en charge du protocole IPv6 pour éviter de s’exposer. Le VPN Tor guard, également évoqué dans l’étude, a lui aussi profité de l’occasion pour annoncer avoir renforcé ses mesures de sécurité à l’égard de cette faille. Une mesure compréhensible, mais qui ne va pas favoriser l’adoption déjà poussive de ce nouveau protocole d’adressage.
La faille détaillée par les chercheurs n’a rien de très nouveau et l’étude remarque que celle-ci, bien que connue depuis un certain temps, reste exploitable contre la plupart des fournisseurs VPN commerciaux. Les chercheurs notent dans leurs conclusions que les entreprises utilisant des services de VPN devraient être peu touchées par cette faille, pour peu qu’ils soient configurés correctement.
La prise de contrôle du DNS pourrait être envisageable, mais « nécessiterait de la part de l’attaquant une grande connaissance du réseau.» L’étude s’inquiète en revanche des conséquences de ce type de faille sur des individus ayant recours à ces technologies dans des régimes totalitaires, et du sentiment de fausse sécurité que celles-ci peuvent créer.
 
 
Source.:

Win10 : Silverlight ne sera pas supporté par Edge (aka Spartan)

Silverlight ne sera pas supporté par Edge, le navigateur Microsoft pour Windows 10

Technologie : Outre les ActiveX, le nouveau navigateur de Microsoft introduit avec Windows 10 ne supportera par le plugin Silverlight. Pour l'éditeur, c'est le HTML5 qui doit primer. Silverlight n'est cependant pas abandonné.


Le développement de la vidéo en HTML5 a encouragé Microsoft à porter un coup à sa technologie Silverlight, qui ne sera ainsi pas prise en charge par son prochain navigateur Web, Edge, lancé à l'occasion de la sortie de Windows 10.
Dans un billet de blog très détaillé, Microsoft précise toutefois que Silverlight continuera d'être supporté. Ainsi le framework pourra toujours être utilisé dans Internet Explorer 11 et les applications exécutées hors d'un navigateur.

L'avenir c'est le HTML5, pas Silverlight

Mais les services continuant de proposer du streaming par l'intermédiaire de Silverlight sont encouragés à basculer sur le HTML5. "[Le streaming basé sur le HTML5] représente la solution la plus aboutie en termes d'interopérabilité parmi les navigateurs, plateformes, contenus et terminaux" explique Microsoft sur son blog.
En outre, le "support d'ActiveX a été interrompu dans Microsoft Edge" rappelle l'éditeur. Et "cela comprend le retrait du support de Silverlight. Les raisons pour cela… comprennent l'émergence de solutions média viables et sécurisées basées sur les extensions HTML5" se justifie encore Microsoft.
En mai, la firme avait annoncé que plusieurs de ses technologies maison, héritées d'Internet Explorer, ne seraient pas prises en charge dans Edge. ActiveX, VBScript, VML, browser helper objects, le mode IE8 et les modes document ne seront ainsi pas intégrés dans Edge.
"Fournisseurs de contenu comme consommateurs bénéficieront de cette transition" assure Microsoft. "Si l'adoption de cette technologie peut présenter des défis à court terme, les fonctionnalités et options discutées dans ce blog sont fournies pour assister les entreprises dans ce changement".
L'arrêt de plugins comme Silverlight ne signifie pas la fin du support des extensions dans Edge, ex-Spartan. Des modules Skype, Reddit et Pinterest ont d'ailleurs déjà été présentés. Microsoft Edge sera le navigateur par défaut de Windows 10 pour PC, tablettes et smartphones. IE 11 ne disparaît pas pour permettre le support des sites legacy.

Source.:

lundi 6 juillet 2015

Le Deep learning » ou apprentissage en profondeur

 Le deep learning ( aussi appelé deep structured learning, hierarchical learning ou apprentissage profond1) est un ensemble de méthodes d'apprentissage automatique tentant de modéliser avec un haut niveau d’abstraction des données grâce à des architectures articulées de différentes transformations non linéaires.

 On parle de plus en plus d’une nouvelle technique d’intelligence artificielle (IA), le deep learning, qui ferait des miracles en matière de reconnaissance et classification de données. On l’a vu, le “deep learning” repose sur les réseaux de neurones. Cela implique des centaines, voire des milliers d’unités actives fonctionnant en parallèle : dans le cas de Google, 16 000 processeurs égalent donc 16 000 neurones.En 2012, Google créa l’événement en utilisant cette série d’algorithmes pour reconnaître des chats sur les images (activité principale des internautes, comme chacun sait), avec un taux de succès de 70 % supérieur aux méthodes concurrentes. Depuis, le deep learning est employé, entre autres, par Microsoft (afin de permettre une traduction en temps réel des conversations Skype) ou encore Facebook, qui a engagé récemment l’un des plus grands spécialistes du domaine, le français Yann LeCun. Dans un récent article, Wired fait le point sur les succès de cette technologie, mais pointe surtout un aspect peu connu et particulièrement intéressant : non, pas besoin d’être un GAFA, un des géants du net disposant des milliers de machines pour faire du deep learning !

Ray Kurzweil expose les progrès rapides faits simultanément par les neurosciences et l'Intelligence Artificielle dans la compréhension du cerveau et de son fonctionnement (« How to create a Mind, Viking, octobre 2012). Un des points clefs de la démonstration repose sur la constatation (encore à vérifier dans les détails) que le cortex supérieur du cerveau humain met en oeuvre des millions de structures neuronales très semblables et relativement simples jouant le rôle de « pattern recognizers ».


  • Les humains organisent leurs idées et leurs concepts de façon hiérarchique.
  • Les humains apprennent d’abord des concepts simples, et les combinent ensuite pour représenter des concepts plus abstrait.
  • Les ingénieurs (généralement humains) construisent des solutions en combinant de nombreux niveaux d’abstraction et de traitement.
 un point essentiel du travail d'interprétation du fonctionnement cortical présenté par Ray Kurzweil est que cet auteur s'est inspiré des innovations remarquables en matière d'identification des images et des sons qu'il avait lui-même depuis bientôt 30 ans mis au point avec quelques collaborateurs. Les produits commerciaux en résultant se retrouvent aujourd'hui dans des centaines de millions d'appareils grand public, que l'on utilise sans même prêter attention aux performances extraordinaires ainsi permises, impensables il y a seulement quelques années. C'est le cas avec l'assistant virtuel personnel Siri de Apple, basé sur le logiciel de reconnaissance du langage « Nuance Communications ».

Cette convergence entre les neurosciences et l'intelligence artificielle appelle des réflexions philosophiques de première importance. Est-elle fortuite ou correspond-elle à des logiques profondes communes? Mais nous n'aborderons pas la question dans cet article. Bornons-nous à constater que cette convergence ne cesse de faire sentir ses effets, notamment dans un domaine essentiel qui est l'amélioration des modalités d'apprentissage dont disposent les milliards d'humains aujourd'hui confrontés à la nécessité de comprendre un environnement de plus en plus complexe.

L'enjeu est important, en particulier pour les organismes en charge de l'éducation, à tous les niveaux des cursus et des compétences requis. De nouvelles procédures de formation semblent devoir s'imposer. On parle de « deep learning » ou « apprentissage en profondeur ». Il s'agit d'un aspect encore nouveau qui s'ajoute à la révolution déjà en cours (voir notre dossier consacré à l'impact du Très Haut Débit dans l'éducation http://www.admiroutes.asso.fr/larevue/2012/131/treshautdebitEN.htm). Le « deep learning » sera en ce cas rendu possible par l'utilisation des hauts débits, permettant des échanges interactifs en parallèle et à hauts flux comparables à ceux réalisés dans le cerveau au sein du cortex.

Les premiers intéressés sont les chercheurs et industriels en intelligence artificielle développant des logiciels visant à augmenter les capacités des humains en matière de vision, audition et formalisation de règles. On a vu ces derniers temps revenir à l'actualité des programmes connus depuis au moins trente ans et quelque peu délaissés faute de performance, ceux désignés par le terme de « réseaux neuronaux artificiels » ou « neural netwoks ». Ceux-ci étaient censés correspondre aux modalités selon lesquelles les réseaux de neurones biologiques acquièrent leur expérience du monde (voir http://fr.wikipedia.org/wiki/R%C3%A9seau_de_neurones_artificiels).
De nouvelles recherches, conduites par un certain nombre d'équipes dans le cadre du « deep learning » ont amélioré notamment les processus statistiques (ou bayésiens) utilisés par ces réseaux. On ne confondra pas les réseaux neuronaux et les algorithmes génétiques, eux aussi inspirés du biologique et permettant d'améliorer les méthodes d'apprentissage (Voir http://fr.wikipedia.org/wiki/Algorithme_g%C3%A9n%C3%A9tique) Mais comme le montre le livre de Ray Kurzweil, les deux méthodes peuvent être conjuguées.

Concernant le « deep learning », il faut citer en particulier aujourd'hui les travaux du chercheur Geoffrey E. Hinton (voir http://www.cs.toronto.edu/~hinton/) . Ils ont permis de gagner un concours sponsorisé par la firme pharmaceutique Merck en vue de déterminer les molécules les plus aptes à composer tel ou tel médicament.

Mais les nouveaux logiciels inspirés du cerveau biologique ne se limitent pas à ce domaine. Les applications en matière de reconnaissance de patterns concernent désormais l'analyse de vastes bases de données prélevées sur le web et intéressant les comportements des citoyens et plus particulièrement des consommateurs. De même ils serviront à perfectionner les méthodes d'identification de visage et de silhouette utilisées par les application de surveillance et de sécurité. Certains à juste titre s'en inquiéteront.

Applications dans le domaine éducatif


Les nouveaux réseaux neuronaux disposent d'optimisations en termes informatiques mais ils bénéficient aussi des massives possibilités apportées par les super-calculateurs. Leurs performances dépassent dans certains domaines celles des cerveaux humains. Aussi leurs applications seront prochainement étendues au profit des programmes éducatifs.

On peut espérer que ceci se fera dans un cadre non compétitif. Même Microsoft, qui veut se donner un rôle primordial en ce domaine, aurait admis que travailler dans le cadre de l'open-source devrait s'imposer compte-tenu des enjeux sociétaux en cause.

Il faudra voir ce qui en sera dans les prochains mois. Ce serait une raison de plus pour que les institutions européennes s'intéressant à l'éducation favorisent les investissements en matière de "deep learning" provenant des universités et laboratoires universitaires.


Source.:
blogs.mediapart.fr