S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 15 octobre 2010
N° CERTA-2010-ACT-041
Affaire suivie par: CERT-FR
le 15 octobre 2010

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2010-41

Gestion du document

Référence CERTA-2010-ACT-041
Titre Bulletin d’actualité 2010-41
Date de la première version 15 octobre 2010
Date de la dernière version 15 octobre 2010
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Une semaine riche en correctifs

1.1 Mise à jour des produits Microsoft…

Dans son cycle mensuel, Microsoft a publié une longue liste de correctifs répartis dans pas moins de 16 mises à jour différentes. Quatre d’entre elles sont considérées comme critiques par Microsoft (MS10-071, MS10-075, MS10-076, MS10-077, cf. Documentation) et corrigent des vulnérabilités qui peuvent conduire à une exécution de code arbitraire à distance par une personne malintentionnée.

L’ensemble des mises à jour concerne Windows, Internet Explorer, MS .NET Framework en passant par la suite bureautique MS Office et Media Player. Les mises à jour non critiques (mais désignées comme importantes pour la plupart par Microsoft) ne sont pas pour autant à ignorer et doivent également faire l’objet d’une attention particulière.

L’application dans les plus brefs délais de l’ensemble de ces correctifs est impérative.

Documentation

1.2 … et des produits Oracle

Cette semaine, nous retiendrons également deux avis de sécurité importants concernant les produits Oracle. Ceux-ci ciblent des vulnérabilités critiques permettant une exécution de code arbitraire à distance par une personne malintentionnée.

Le premier avis concerne Java SE et Java for Business (CERTA-2010-AVI-500).

Le second avis concerne plusieurs produits Oracle dont Oracle Database, Oracle Application Server, Oracle E-Business Suite ou encore Oracle VM. La liste complète est à consulter sur l’avis CERTA-2010-AVI-499.

Les correctifs publiés sont à appliquer impérativement pour les produits concernés.

Documentation

2 La CNIL publie un guide de la sécurité des données personnelles

La CNIL vient de publier sur son site un guide pour la sécurité des données personnelles. Après un rappel des contraintes légales qui s’appliquent aux SI, le document présente une série de fiches de conseil par domaine technique et administratif (sécurité des locaux, sécurisation des terminaux mobiles, authentification des utilisateurs, sous-traitance, …).

Chaque fiche présente les précautions élémentaires à mettre en œuvre, les bonnes pratiques à suivre ainsi que des solutions à éviter. Elles sont également accompagnées de documents « type » (charte informatique, clause de confidentialité en cas de sous-traitance, …).

Rédigé dans l’état de l’art de la technique et du droit, dépassant souvent le cadre du traitement des données personnelles, il s’agit en pratique d’un document très intéressant aussi bien pour les responsables de grands systèmes d’information que pour les administrateurs de PME.

Le CERTA rappelle qu’il est important de se poser la question de la déclaration de tout fichier de données à caractères personnelles auprès de la CNIL et que des mesures de protection doivent être mise en place afin d’en assurer leur confidentialité.

Documentation

Rappel des avis émis

Dans la période du 04 au 10 octobre 2010, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 15 octobre 2010
    version initiale.