mar 21 2012

Cisco : Services de gestion et de sécurisation du BYOD

L’équipementier Cisco prend le virage du BYOD en entreprise par la face des services de gestion de cette tendance et de sa sécurisation en combinant plusieurs de ses solutions.

Voulant répondre à la croissance du nombre de salariés mobiles et à la tendance du BYOD ( Bring Your Own Device ) au sein de l’entreprise, qui conduit les employés à utiliser les mêmes appareils mobiles pour leurs besoins professionnels et personnels, l’équipementier Cisco voit là une occasion de mettre en avant ses services pour faciliter la prise en charge de cette évolution tout en maintenant les indispensables aspects de sécurité.

Il propose ainsi une politique de gestion globale des accès au réseau de l’entreprise en connexion filaire, sans fil, VPN ou cellulaire via les dernières innovations de sa solution Cisco Identity Services Engine ( ISE ) qui permet notamment aux employés eux-mêmes d’obtenir une authentification au moment où ils en ont besoin et sur le terminal de leur choix, sans avoir à contacter le service informatique de l’entreprise.

Cisco ISE passe aussi par l’intégration de plusieurs solutions de gestion à distance des terminaux pour définir des règles d’usage applicables à l’ensemble du parc et avoir la possibilité d’effacer les données sur les appareils perdus ou volés.

L’équipementier vient également de mettre à jour sa plate-forme d’infrastructure Cisco Unified Wireless Network pour renforcer les possibilités d’optimisation des flux vidéo en multicast sur divers terminaux, augmenter le nombre d’équipements gérés ( jusqu’à 3000 points d’accès et 30 000 clients ) et intégrer le support de l’IPv6, indispensable à l’heure de la multiplication des appareils mobiles connectés.

Enfin, Cisco promet une système de gestion de réseau simplifié avec Cisco Prime Assurance Manager 1.1 permettant d’évaluer les performances des applications en fonction des terminaux et d’identifier plus rapidement la source des dysfonctionnements.

Il pourra être accompagné de Prime Infrastructure 1.1 pour les départements informatiques souhaitant superviser et préparer leurs déploiements d’infrastructures Cisco.  Les différents éléments de la stratégie Cisco envers le BYOD sont déjà disponibles, à l’exception de Cisco ISE qui sera distribué cet été, l’intégration avec les systèmes de gestion à distance étant prévue pour la fin de l’année.

 

[Source : Generation NT]

mar 13 2012

Kevin Mitnick : le Social Engineering ça marche à tous les coups !

« Kevin Mitnick est en mesure de déclencher la troisième guerre mondiale en sifflant dans un téléphone« . C’est faux, bien entendu, mais ça fait son petit effet. Surtout devant un tribunal.

Car cette affirmation provient d’un militaire américain de haut rang témoignant au procès de celui qui fut le pirate informatique le plus recherché de la planète. Et elle illustre parfaitement la légende qui s’est bâtie autour du personnage de Kevin Mitnick. Celle d’un hacker capable, dans l’imagerie populaire, de s’introduire dans tous les systèmes de la planète, de percer toutes les défenses et de demeurer parfaitement invisible (une légende qui contribuera notamment à lui infliger un traitement pénal considéré aujourd’hui comme étant largement disproportionné par rapport aux faits qui lui étaient reprochés).

Mais au delà de la légende, il y a les faits : alors qu’il était un fugitif aux multiples identités, traqué par le FBI pendant presque trois ans, Mitnick était effectivement en mesure de contrôler l’infrastructure téléphonique de plusieurs états ou encore de se faire faxer le permis de conduire de n’importe quel conducteur du pays. Il a également accroché à son palmarès de pirate des géants tels que Motorola, Nokia, Sun Microsystems et bien d’autres, auxquels il a dérobé le saint des saints : le code source de leur produit phare de l’époque (« des trophées« , explique-t-il, en précisant qu’il n’a jamais tiré le moindre bénéfice financier de ces exploits). Et, ironie suprême, il s’est aussi offert le luxe de placer sous surveillance les agents fédéraux qui le traquaient.

Sa recette : un habile cocktail d’attaques techniques et d’ingénierie sociale, cet Art de la manipulation humaine. « J’exploite le mensonge, la manipulation, l’influence et la politesse naturelle des gens« , résume Mitnick. Et c’est précisément cette approche de l’ingénierie sociale qui l’a rendu aussi efficace. « Le problème avec les attaques purement techniques c’est qu’elles laissent des traces dans les journaux et que l’on arrive rarement directement au coeur du réseau : il faut souvent d’abord passer par la DMZ puis ensuite travailler dur pour en sortir. Alors qu’avec un peu d’ingénierie sociale on arrive directement derrière les pare-feux, sur le réseau interne« , explique Kevin Mitnick lors d’une interview exclusive accordée à SecurityVibes.

Aujourd’hui, Kevin Mitnick continue à pirater, mais cette fois avec la bénédiction de ses cibles. Avec sa société Mitnick Security Consulting il pratique en effet des tests d’intrusion qui associent expertise technique et ingénierie sociale, et semble-t-il avec le même succès. Au point que ses clients préfèrent souvent faire l’impasse sur l’aspect social, qu’ils jugent trop efficace au point d’être « triché ».

 » Aujourd’hui on me demande à 80% des prestations techniques seules. Probablement parce que évaluer la résistance de l’entreprise à l’ingénierie sociale n’est exigé par aucune réglementation «  , précise Mitnick. Et il le regrette, car selon lui les pirates ne font pas cette distinction et cibleront avant tout le maillon le plus faible de la chaîne…  » et c’est très souvent l’humain  » , observe-t-il.
« A ce jour j’ai obtenu 100% de réussite avec l’ingénierie sociale. Lors de ma dernière prestation, j’ai obtenu 70% d’obéissance de la part de mes victimes au premier appel téléphonique, avec une confirmation par email (dont l’adresse d’origine était usurpée, bien entendu, ndlr) », poursuit le hacker.

Autre avantage du Social Engineering : l’être humain ne peut pas être « patché » ! Ainsi la quasi-totalité des exploits techniques utilisés par Mitnick dans les année 80 et 90 ne sont bien entendu plus valables aujourd’hui. Mais ses trucs d’ingénierie sociale, eux, n’ont pas changés et fonctionnent mieux que jamais… grâce notamment aux réseaux sociaux !

« A l’époque, mon seul instrument était le téléphone. Aujourd’hui la boîte à outils est beaucoup plus riche avec l’email, le chat, et surtout les réseaux sociaux. Facebook, par exemple, permet d’approcher une cible en devenant l’ami d’un ami, afin d’établir un premier rapport et une certaine crédibilité qui pourra s’avérer utile par la suite. Quant à LinkedIn, je l’utilise beaucoup pour rechercher des cibles potentielles : par exemple des administrateurs systèmes ou réseaux travaillant pour telle ou telle société et avec telle ou telle technologie« , raconte Mitnick.

Mais l’outil principal demeure le téléphone : avec une bonne recherche préalable un attaquant peut aisément se faire passer pour un employé de n’importe quelle société, en citant les noms des bons managers, des bons bureaux et des bons projets (autant d’informations que les réseaux sociaux rendent désormais beaucoup plus faciles à découvrir)

« Plus l’entreprise est grande, plus il sera facile de se faire passer pour quelqu’un d’autre. C’est évidemment plus compliqué avec une PME où tout le monde se connaît« , poursuit le hacker. Compliqué, mais pas impossible. Pour preuve, il nous livre le souvenir du piratage d’une société uni-personnelle, un récit qui ne figure pas dans son dernier ouvrage.

Ayant pris pied sur un grand système Mitnick cherchait à y installer un sniffer afin de capturer des mots de passe. Mais il maîtrisait mal l’OS en question et il était incapable d’en développer un lui-même. En se renseignant il apprend toutefois qu’il existe un outil d’interception pour ce système, développé par un éditeur indépendant. Mais il s’agit d’une société uni-personnelle basée au domicile de son fondateur, ce qui rend une usurpation téléphonique impossible.
Kevin Mitnick sonde malgré tout la société à distance et découvre que le serveur principal fonctionne sous VMS, son système de prédilection. A cette époque une vulnérabilité critique venait d’être rendue publique pour certaines versions de VMS, mais le système en vue n’en faisait pas partie. Qu’à cela ne tienne : Mitnick commande malgré tout les bandes magnétiques avec le correctif officiel directement chez DEC. Il modifie ensuite le patch afin d’inclure un Cheval de Troie, remballe le tout sous un film plastique à l’aide de la machine à emballer d’un ami et s’en va louer… un uniforme de livreur UPS !

« Nous sommes à Los Angeles, la ville du cinéma : on y trouve n’importe quel costume !« , s’amuse Mitnick. Il lui a alors suffit de sonner à la porte du développeur, d’entrer suffisamment rapidement pour que celui-ci ne réalise pas qu’il n’y a aucun camion UPS garé devant chez lui, et de remettre – contre une signature, bien entendu – le colis. Quelques jours plus tard le vrai-faux patch était installé et Mitnick pouvait copier le sniffer tant désiré.

L’exemple montre combien il est difficile pour une entreprise de se protéger face à un assaillant motivé et disponible. Et il n’y a pas de distinction en terme de domaine d’activité, même si selon Mitnick les opérateurs téléphoniques et les fournisseurs d’énergie commencent à être mieux rodés que les autres. La seule différence éventuelle serait d’ordre culturel : « les japonais sont les plus faciles à abuser à cause de la politesse et de la confiance inhérente à leur culture. A l’inverse, les russes sont les plus difficiles à berner car ils n’accordent pas facilement leur confiance« , révèle Kevin Mitnick.

S’il est aussi difficile de se protéger contre l’ingénierie sociale, comment au moins limiter la casse ? En retirant au maximum l’humain de l’équation. « On ne peut pas demander aux employés d’évaluer eux-mêmes le risque associé à l’ouverture de tel document ou à communiquer telle information par téléphone. Donc lorsque c’est possible il vaudra mieux dédier cette tâche à de la technologie« , conseille Kevin Mitnick.

Il cite comme exemple les systèmes où un opérateur demande le sésame de son correspondant et y accède à l’écran afin de le valider. « Ce ne doit pas être à l’opérateur de décider si le mot de passe communiqué est le bon en le comparant à celui qui apparaît à l’écran. Il vaut mieux qu’il n’ait qu’à le saisir au clavier et le système lui répond simplement oui ou non« , poursuit le consultant. Car cela évite bien entendu toute négociation au téléphone.

Parmi ses autres conseils, Mitnick préconise de favoriser l’ouverture des documents reçus par email à l’aide de Google Doc ou de Quick View (sous Mac) et de procéder à ce qu’il appelle des « inoculations » régulières : des campagnes de phishing « officielles » qui permettent d’identifier les collaborateurs susceptibles de tomber dans le panneau régulièrement, afin de mieux les sensibiliser. C’est par exemple ce que propose une société comme PhishMe.

Et bien sûr, des pentests incluant le social engineering, qui permettront là aussi d’identifier les collaborateurs les plus polis et les plus aidants… afin de leur expliquer combien ces qualités humaines parfaitement nobles peuvent devenir de tragiques défauts pour l’entreprise face à un attaquant motivé !

[Source : Security Vibes]

fév 01 2012

Un Android blindé à la sauce NSA

La National Security Agency américaine propose depuis peu une version SE d’Android (pour Security Enhanced, « sécurité renforcée »). Dans cette version, le système bénéficie notamment d’un système de contrôle des privilèges de type « MAC » (mandatory access control) plutôt que DAC (discretionary access control). Dans ce dernier cas – le plus commun – c’est le propriétaire d’une ressource qui en défini les droits d’accès. Dans le second, mis en oeuvre par SE Android, c’est le système qui applique des droits spécifiques aux ressources de l’utilisateur en fonction de la politique de sécurité. Ainsi sous le régime MAC une application qui s’exécuterait avec les droits système (et qui aurait en théorie accés à l’ensemble du système) ne pourrait pas accéder à certains composants critiques si la politique de sécurité l’en empêche.

Le passage de DAC à MAC ne devrait pas être étranger aux avertis du monde de la sécurité, c’est précisément ce que la NSA avait ajouté à Linux dans sa version SE Linux.

Que la NSA s’intéresse à Android après Linux est instructif : il s’agit d’une bonne indication du fait que c’est désormais le mobile en général qui a vraiment besoin de renforcer sa sécurité aujourd’hui (mais nous nous hasarderons pas à essayer de savoir si c’est parce qu’il est le plus attaqué ou simplement moins mûr en la matière, parce que plus récent !). Quant au choix d’Android en particulier, la question est vite réglée : basé sur Linux et ouvert, le système était le seul à pouvoir être ainsi préparé.

Dans sa première version, SE Android se limite à permettre l’application des patches SE Linux à une « distribution » Android. A terme cependant, SE Android devrait bénéficier de fonctionnalités inédites.

Selon un article de PC World,  SE Android serait en mesure d’empêcher un exploit destiné à prendre le contrôle d’Android en six points distincts de son exécution.

L’installation de cette version renforcée n’est toutefois pas conseillée aux timides : il faut déjà être capable d’installer sur son mobile la version générique d’Android (AOSP, disponible auprès de l’Android Open Source Project). Ce n’est que sur cette base que SE Android pourra se greffer.

Il faudra ensuite être familier avec le système de contrôle de version Git (que nous recommandons, au demeurant, mais c’est un autre sujet !), afin de cloner la branche officielle de l’AOSP et y appliquer les patches spécifiques qui en feront un SE Android (à récupérer via Git également). Et bien entendu, il faudra être en mesure, par la suite, de garder le tout à jour…

Autant dire que la portée de cette nouvelle version d’Android sera pour l’instant limitée aux passionnés et aux curieux (n’hésitez pas à nous donner votre avis si vous l’essayer) avant d’intéresser de quelconques entreprises : ces dernières préféreront certainement encore renforcer leur flotte de mobile avec un outil de MDM clés en mains. Mais rien ne dit que les éditeurs de ces derniers ne fournissent pas, à l’avenir, un moyen simple de mettre à jour les terminaux contrôlés avec SE Android (et s’occuperont alors des mises à jour). Ce serait même plutôt une bonne idée !

[Source : Security Vibes]

jan 13 2012

Free Mobile : Ce qui devait arriver … Arriva !

Nous voici donc en l’an de grâce 2012 et plus précisément le 13 janvier, Free Mobile, elu nouveau trublion de la téléphonie mobile dès les premiers jours de sa candidature à la course à la licence 3G, est arrivé sur le marché depuis quelques jours. C’est décidé depuis bien longtemps, mon abonnement auprès de la Société Française du Radiotéléphone (SFR pour les intimes …) ne sera donc pas renouvellé à l’issu de mes 6 années de présence chez eux. Plusieurs raisons ont motivé ma décision.

Resituons un peu les faits. Mon premier abonnement à un service de téléphonie mobile avait été souscrit auprès de France Télécom Mobile Services (FTMS) sous l’appellation Itineris avec un forfait intitulé Optima. Une petite offre 2 heures de communications avec les SMS non-compris dans le forfait et tout un tas d’options payantes (Présentation du numéro, double-appel …). J’ai très vite compris que ce formidable outil de communication auquel je devenais de plus en plus accro était une formidable pompe a fric. J’avais très bien vécu sans abonnement mobile avant, mais le besoin frénétique d’être joignable et de joindre en permanence et de posséder un mobile au fond de la poche était de plus en plus présent. Technophile dans l’ame, bidouilleur dans le fond, et deja internaute compulsif de la première heure, ma soif d’options data et autres forfaits WAP a été plus forte que le porte-monnaie. Puis est venu la courte période Bouygues Telecom … Soit disant déjà à l’époque révolutionnaire … bof bof bof … La qualité du réseau était si médiocre que mon passage chez eux a été éclair. Puis est venu la période SFR, où tant bien que mal j’ai survécu jusqu’à maintenant. Ne voulant pas retourner chez Orange, ni chez Bouygues Telecom et n’ayant surtout pas le choix, j’ai persévéré en ce sens.

Depuis mon premier enrôlement dans le monde de la téléphonie mobile et jusqu’à aujourd’hui, les tarifs et services proposés étaient relativement similaires quelque soit l’opérateur. Pour les prix à quelques euros près, et pour les services à quelques arnaques près, il a toujours fallu ruser pour récupérer les mail, accéder à des systèmes distants, ne pas trop consommer de bande passante, ne pas envoyer de SMS a trop de destinataires, bref, encore une fois réfréner mes envies d’aller vers l’avant d’expérimenter de nouvelles technologies, de nouveaux modes de communication. Sauf à dépenser son salaire dans des abonnements délirants soit disant Neo Jet illimythics mais limités au delà d’un certain volume de données consommées.

Plus récemment et précisément depuis la candidature de  Free Mobile à la quatrième licence 3G, bon nombre de rumeurs et de fantasmes ont fait leur apparition. Dès les premières annonces la plupart des utilisateurs mobiles, otages de l’alliance historique, ont émis leur souhait de devenir client  Free Mobile. Probablement en réaction épidermique à la période d’arnaque intensive et de ponction financière malsaine qu’il ont vécu dès leurs premières expériences de consommateur de technologie mobile. Jusqu’à la date fatidique de l’annonce de l’offre définitive que nous connaissons, les rumeurs n’ont fait qu’amplifier et l’attente était devenue insoutenable pour la plupart des potentiels accédants au nouveau service de téléphonie  Free Mobile. Les interventions tonitruantes parfaitement orchestrées par la société Free, devenue maitre en terme de distillation du buzz, ont fait trembler un peu plus la concurrence a chaque annonce. Un simple tweet annonçant une fusée sur le pas de tir (« The Rocket is on the launch pad » : @xavier75) a activé toute une armée de fouineurs. Dès cette annonce les gens se sont mis à la recherche du moindre indice pouvant donner quelque information que ce soit concernant les offres qui allaient être proposées. On peut dire que le lancement a été savamment orchestré et rondement mené jusqu’à son terme. A tel point que toutes ces annonces n’ont fait que susciter l’intérêt de chacun pour  Free Mobile. Probablement que ceux qui n’y pensaient pas au début, le trouve indispensable aujourd’hui !

Les formules proposées par  Free Mobile aujourd’hui sont financièrement parlant bien en deçà de tout ce que l’on a pu connaitre ces dernières années ! Vous me direz qu’effectivement les trois opérateurs historiques ont fait un bien maigre effort pour aligner leurs tarifs sur les rumeurs distillées sur le net. Ce qui me dérange dans cette démarche c’est qu’aucun des trois en place n’ai pris l’initiative de mettre un coup de pied dans la fourmilière et que tous se soit entendus pour prendre leur clients pour des vaches a lait toutes ces années. Comme l’avait fait le conseil de la concurrence le 12 décembre 2005, je condamne ces 3 opérateurs en appliquant ma sanction a mon niveau en partant chez  Free Mobile. d’autant que l’histoire se répète et que nous avons déjà vu cela se produire avec les abonnements Internet particuliers ou tout était figé et tarifé à outrance. Alors oui, il y aura des fidèles parmi les fidèles, comme ceux ayant toujours en 2012 un bon vieux modem ADSL Wanadoo toujours pas remplacé par une box. Ceux qui n’ont pas envie de se prendre la tête, ceux dont le téléphone n’est qu’un moyen et pas une finalité, ceux qui on peur du changement, qui doutent … et bien voilà ce qu’il restera dans les bases client des opérateurs historiques.

Techniquement parlant, nous sommes bien au delà de ce que nous avons pu connaitre. Xavier Niel, nous avait prévenu, c’est une révolution … Outre les SMS/MMS illimités devenus presque monnaie-courante, il n’y a pas de période d’engagement obligatoire, nous voyons aussi arriver l’illimité dans sa dimension internationale mais aussi un vrai accès à l’internet au travers de son mobile sans être restreint concernant les différents protocoles de communication (mails, web, peer to peer, newsgroups …). La limite de consommation est de 3Go. Sachant qu’un utilisateur lambda utilise en moyenne haute quelques 500Mo par mois, il y a une bonne marge. A noter cependant que cette limite tendra probablement à être atteinte en raison de la disponibilité de nouveaux protocoles.

Quelques questions restent pour le moment en suspens et faire hésiter quelques non avertis à sauter le pas … Nous pouvons nous poser la question de la qualité de service du réseau  Free Mobile. En technophile averti, je suis relativement rassuré pour les utilisateurs qui résident dans les grandes agglomérations.  Free Mobile y dispose de ses propres infrastructures et l’Autorité de Régulation des Communications Électroniques et des Postes (ARCEP) a validé leur conformité. Nous ne devrions pas avoir trop de problème dans ces zones géographiques. En revanche pour celles et ceux présents dans des zones de grande banlieue et de province paumée (Le Cantal par exemple. Pour reprendre les propos de Stéphane Richard – PDG d’Orange France) la réponse risque d’être plus incertaine. Quid du respect des engagements de l’accord d’itinérance entre Orange et Free. Est-ce qu’Orange s’astreindra a maintenir une qualité se service égale aux appels provenant de l’itinérance  Free Mobile qu’à ses propres clients ? L’avenir nous le montrera. Comme tout lancement quelques problèmes de jeunesse pourront apparaitre, certains auront l’impression d’essuyer les plâtres. Mais vu le prix pratiqué, je pense que le jeu en vaut la chandelle. d’autant que je trouvais que la qualité de service de mon ancien opérateur s’était clairement dégradé ces derniers temps (appels redirigés directement sur le répondeur sans que le téléphone sonne, accès à Internet plus ou moins fiable, appel sortants échouant régulièrement …). Au final, entre payer 70€ pour un service moyen qui aurait du être irréprochable ou 15.99€ pour un service qui tend à le devenir … Je vous laisse deviner mon choix.

Une des autres nouveautés introduite par l’arrivée de  Free Mobile sur le marché concerne la subvention des terminaux mobiles. Aux vues de ce que proposaient les 3 mammouths lors d’un ré-engagement, même avec des millions de points et des ré-engagements de 2 ans, pour ma part, la réponse est toute trouvée. Autant se débrouiller tout seul. D’autant qu’en faisant un rapide calcul, le prix de l’abonnement incluant la subvention sur deux ans reviens au même prix que l’achat d’un téléphone neuf mais avec un crédit de deux ans.  Free Mobile a encore une fois pensé à tout en proposant un service de subvention de mobile lors de son inscription au service. Alors, un téléphone tout neuf subventionné par un crédit de deux ans ou une bonne affaire sur leboncoin.fr feront l’affaire de beaucoup de nouveaux clients potentiels. Reste aussi le cas de ceux qui réutiliseront le téléphone acquis auprès de leur ancien opérateur et débloqué gratuitement au bout de 3 mois. Pour ma part, le mobile est devenu un produit de consommation courante. Même si ces petits objets ne sont pas forcément bon marché, j’en change régulièrement et le programme de subvention ne me convenait pas. Je finissait par acheter tous mes mobiles directement neufs sans passer par le circuit du financement nouvel opérateur ou renouvellement. ca ne me changera pas beaucoup. Au mieux j’économiserai sur mon abonnement mensuel pour financer mon prochain achat de terminal.

A l’heure de rédaction de cet article, j’attends donc avec impatience la réception de ma nouvelle carte SIM afin de l’insérer dans mon téléphone actuel. Rendez-vous donc d’ici quelques temps pour le debriefing et le compte rendu de l’essuyage de plâtre ;)

nov 22 2011

Kwixo, petit tour du propriétaire …

KWIXO, nouvelle solution de E-paiement apparue il y a quelques temps et dont la campagne publicitaire a marqué les esprits en mettant en scène quelques acteurs fort dévêtus.

Me voila donc inscrit depuis peu à KWIXO. L’application disponible pour ma part sur l’Android Market est relativement attrayante. L’interface est claire, efficace et rapide. L’inscription au service se fait de manière aisée. Le volume d’information a fournir pour l’inscription au service peut paraitre important mais vu le contexte financier du service, ce volume est tout à fait acceptable. A l’issue du processus d’enregistrement un mail de validation est envoyé à l’adresse initialement renseignée pour finaliser l’inscription. Cette adresse servira de login pour se connecter à l’application et au site dédié. A noter qu’il est possible de valider ultérieurement son numéro de mobile au au travers de l’interface du site Internet afin de se connecter avec ce dernier. Cela peut être pratique si vous avez une adresse mail à rallonge.

Contrairement aux idées reçues, il n’est pas obligatoire d’être client Crédit Agricole ou LCL. Le service est ouvert à toute personne disposant d’une carte bancaire.

Une fois l’inscription validée, vous pouvez désormais envoyer de l’argent à vos contacts inscrits ou non au service mais aussi en recevoir. Il est de plus possible de payer ses achats sur bon nombre de sites marchands dont la liste est disponible dans l’annuaire marchand de l’éditeur. Vous pouvez bénéficier gratuitement du service « paiement après réception » qui vous permet de payer uniquement le produit si il est conforme à vos attentes lors de sa réception.

Lorsque vous souhaitez transférer de l’argent à quelqu’un, le service vous sera facturé 0.49€. Rien ne sera facturé à celui ou celle qui percevra l’argent. Ce montant peut vous paraitre important mais bien en deçà de ce que vous facturerai Paypal pour le même service. A titre indicatif, Paypal prélève 0.25€ par transaction plus 3.4% de la somme transférée. En un rapide calcul, on peut conclure que pour tout virement supérieur à 7€ via KWIXO, vous êtes gagnants par rapport à Paypal. En revanche, le paiement en ligne est lui totalement gratuit pour celui qui achète. c’est au commerçant qu’est facturé le service. En cas d’indisponibilité d’accès internet, un service SMS et serveur vocal est disponible afin d’effectuer une transaction.

La grande différence entre Paypal et Kwixo est que Kwixo n’immobilise pas votre argent. Là ou Paypal immobilise vos fonds avant de pouvoir les faire transiter vers votre compte bancaire personnel, Kwixo permet un transfert d’argent entre la banque de l’émetteur et du destinataire d’une transaction. Les transactions se font en euro, exit donc les problèmes de taux de change euro/dollar fluctuant au fil du temps.

Pour ma part, je suis donc complètement convaincu par la solution proposée par FIA-NET / Crédit Agricole / LCL. Une solution simple, sécurisée et pratique … Que demander de plus ! Quelques années après Moneo dont le succès n’a pas été au rendez-vous chez les petits commerçants probablement en raison de l’investissement initial nécessaire à l’acquisition des terminaux TPE, voici enfin une belle initiative franco-française évitant de voir ses données s’expatrier au pays de l’Oncle Sam et permettant d’effectuer rapidement ses transactions en euro. En espérant que la mayonnaise prenne enfin sur notre territoire et que l’on voit enfin se démocratiser la dématérialisation du paiement courant dans nos contrées.

nov 21 2011

Le top 25 des pires mots de passe, édition 2011

L’éditeur de logiciels SplashData a dressé le top 25 des pires mots de passe utilisés par les internautes et les mobinautes, en se basant sur les listes de mots de passe mises en ligne par des pirates durant l’année 2011. Classée selon le degré d’utilisation des différents termes, du plus élevé au moins élevé, cette liste met en avant que l’importance d’un mot de passe sécurisé n’est pas encore entrée dans les mœurs… loin de là !

Ce n’est pas un hasard si SplashData réalise chaque année le classement des 25 mots de passe les plus volés par les hackers, puisque l’éditeur propose SplashID, un logiciel justement destiné à aider les utilisateurs à sécuriser correctement leurs mots de passe. Une chose est certaine, à l’heure des clés USB chiffrées et autres systèmes destinés à protéger au mieux les données sensibles des technophiles et internautes, il semble qu’il y ait encore du travail pour faire des mots de passe complexes un automatisme.

Même si la liste dressée par SplashData concerne visiblement les internautes anglophones, elle reste tout de même éloquente et mêle des termes simples, faciles à déchiffrer, des suites de chiffres sans aucune complexité ou encore des prénoms populaires :

  • password
  • 123456
  • 12345678
  • qwerty
  • abc123
  • monkey
  • 1234567
  • letmein
  • trustno1
  • dragon
  • baseball
  • 111111
  • iloveyou
  • master
  • sunshine
  • ashley
  • bailey
  • passw0rd
  • shadow
  • 123123
  • 654321
  • superman
  • qazwsx
  • michael
  • football

Un top 25 qui confirme une tendance qui n’est pas nouvelle : BitDefender mettait en avant il y a un an que 73% des questionnés d’une étude avaient déclaré utiliser le même mot de passe pour chaque compte nécessitant une identification. En juin dernier, un développeur indépendant soulignait que la suite de chiffres « 1234 » constitue le mot de passe le plus utilisé par les possesseurs d’iPhone.

Selon une autre étude récemment réalisée par la Lieberman Software Corporation, le problème viendrait du nombre de mots de passe à retenir, notamment dans les entreprises. « Près de la moitié des professionnels IT interrogés ont déclaré qu’ils devaient retenir 10 mots de passe ou plus dans le cadre de leur travail, tandis que 42% ont indiqué partager des mots de passe pour accéder aux systèmes et applications » résume l’enquête.

Le nombre conséquent d’attaques et autres intrusions sur des bases de données, largement médiatisées cette année à l’image du hack du Playstation Network n’a donc visiblement pas influencé les internautes dans le renforcement de la sécurité de leurs comptes. Une tendance qui, malheureusement, se vérifie chaque année… à la grande joie des hackers, et surtout des adeptes de la méthode par force brute qui ont peu d’efforts à fournir pour accéder à des comptes peu sécurisés.

[Source : Clubic.com]

oct 26 2011

Free Mobile en novembre ? Un financement sur les terminaux via Sofinco ?

Nouvelles informations intéressantes concernant le lancement de Free Mobile qui pourrait intervenir avant 2012…

Où en est Free Mobile ? Le déploiement des antennes qui permettra au nouvel opérateur d’assurer une couverture de 27% de la population en 3G se poursuit. Il s’agit pour rappel de l’engagement pris par Free auprès de l’Arcep pour être en mesure de se lancer, le reste de la couverture étant assurée via un partenariat passé avec Orange. Un seuil que Free Mobile comptait atteindre début 2012, mais l’opérateur est apparemment en avance et pourrait même être prêt pour attaquer le marché dès les fêtes de fin d’année. C’est le journaliste François Sorel, animateur sur BFM Radio et de la Chaîne Techno sur le Web, qui l’affirme, expliquant que l’objectif de couverture de Free devrait être atteint dès le mois de novembre.

Des pistes évoquant un lancement anticipé confirmées par Univers-Freebox qui croit savoir que l’opérateur s’apprête à accueillir une équipe de nouveaux télé-conseillers dès le mois de novembre. En formation dès leur arrivée ? Car il reste à voir si la stratégie de Free Mobile est de précipiter son lancement pour surprendre et commencer à recruter des clients au plus vite, ou si l’opérateur souhaite se laisser encore un peu de temps de préparer au mieux son entrée sur le marché.

Quoi qu’il en soit, dans les zones couvertes par les antennes de Free en phase de test, certains utilisateurs de mobiles ont vu leurs téléphones afficher un étrange réseau baptisé 20815. Un code derrière lequel se cache le réseau mobile de Free Mobile. Enfin, signalons une autre information importante. Puisque l’on apprend que Free Mobile serait actuellement en pourparlers avec le groupe de crédits Sofinco pour proposer aux futurs abonnés Free Mobile qui voudraient changer de téléphone en rejoignant l’opérateur d’en obtenir un payé sur 12 ou 24 mois à crédit mais à des conditions avantageuses. Plus avantageuses que celles généralement proposées par les opérateurs qui subventionnent les mobiles et répercutent le coût de ceux-ci dans le prix de leurs abonnements ? C’est ce qu’il faudra voir…

Source : pcworld.fr

oct 11 2011

Google met vos bases de données SQL dans le cloud

Avec Cloud SQL, Google propose un gestionnaire de base de données en ligne afin de lier les application web aux données tout en déchargeant les développeur des tâches d’administration des bases.

La semaine dernière, Google a annoncé Cloud SQL. Comme son nom le laisse supposer, l’idée est de transposer la base de données de l’entreprise sur les équipements en nuage de Google. « Google Cloud SQL est un service web qui vous permet de créer, configurer et utiliser des bases de données relationnelles avec vos applications App Engine, peut-on lire sur la page consacrée au service. C’est un service entièrement géré qui maintient, gère et administre vos bases de données, vous permettant de vous concentrer sur vos applications et services. »

Read more »

oct 11 2011

Eyes Of Network 3.0 : La supervision tout en un

Eyes Of Network (EON) est une distribution GNU/Linux dédiée à la supervision. Basée sur CentOS, elle rassemble et intègre tous les outils dont on peut avoir besoin pour superviser son réseau. Loin d’être une simple glu entre applications disparates, l’ensemble des services est réuni au sein d’une interface unique, l’idée sous‐jacente étant de faciliter la mise en œuvre des processus ITIL.

Nous disposons ainsi de tout ce qui est nécessaire pour la supervision (Nagios, Nagvis), la métrologie (Cacti, weathermap), la gestion d’un parc machine (GLPI, OCS Inventory), etc.. Le tout est fourni avec des outils maison, sous licence GPL v2 : Eonweb, pour l’interface Web, ou Backup manager, qui s’occupe de la sauvegarde des configurations et des données collectées.

Ce vendredi 7 octobre, la version 3.0 a été livrée. Parmi les nouveautés, on notera la disparition du support CD : seule une ISO DVD est dorénavant fournie. En revanche, elle est maintenant disponible aussi bien en version 32 bits que 64. Concernant l’applicatif, EON n’a pas peur de la nouveauté : nous voyons ainsi arriver Thruk 1.1.1 pour améliorer la composante supervision, mais aussi Shinken, qui est décidément de plus en plus présent. Pour la gestion des différents composants, nous disposons maintenant de GLPI 0.8.4, GLPI FusionInventory 2.4.0, GLPI Mass Import 1.5.2, FusionInventory Agent 2.1.9 et OcsInventory 2.1. La gestion de SNMP v3 est également un plus non négligeable !

Vous trouverez un journal des modifications plus complet sur la page dédiée au téléchargement.

Le détail de la distribution sur la page officielle

Source : Linuxfr

oct 11 2011

Gandi Simple Hosting, l’hébergement PHP/MySQL simplifié

Après son serveur en cloud, le français Gandi lance une nouvelle formule d’hébergement baptisée Gandi Simple Hosting.

Simple Hosting sera une offre d’hébergement simple, comme son nom l’indique. Pas de notion de parts, de serveurs, de ressources ou de distributions. Aucune administration système non plus.

Il s’agit d’une plate-forme construite sur l’infra Cloud du prestataire avec la facilité du mutualisé ou du dédié low cost, mais aussi certaines possibilités du Cloud.

Actuellement en bêta, la formule à votre disposition l’instance PHP/MySQL, qui correspond à une forte demande. Celle-ci sera limitée à la taille S (Small) pour cette bêta, ce qui représente la plus petite instance. Elle vous permettra tout de même de stocker 10 Go de données, et d’afficher environ 100 000 pages vues par mois.

Une fois la bêta terminée, il sera possible de modifier la taille de son instance tout simplement, sans avoir à effectuer la moindre migration. Après la bêta, vous conserverez également l’avantage de la gratuité pendant une période limitée (probablement 3 mois).

L’offre en détail sur le site de GANDI

Source : Toolinux

Yann’s Blog is powered by WordPress - WordPress Themes