1 Impression dans les nuages
Depuis quelques mois, plusieurs solutions innovantes dans le monde de l'impression ont fait leurs apparitions : Google Cloud Print, HP ePrint...Que penser de ces nouvelles offres ?
1.1 Les solutions
Sur le papier, ces nouvelles solutions d'impression sont prometteuses. L'offre de HP propose d'associer à votre imprimante une adresse de messagerie unique. Ainsi, il devient possible d'imprimer depuis n'importe quel système, n'importe où, en utilisant simplement cette adresse de messagerie. Lors de l'impression, les données sont traitées par un centre de calcul et de mise en forme localisé chez HP. Votre imprimante, obligatoirement connectée à Internet, va « recevoir » le document à imprimer, et faire son travail. L'offre de Google est assez similaire à celle de HP, et propose de lancer des impressions qui vont transiter par le « nuage » Google. Ainsi, tout équipement se voit offrir des capacités d'impression : PDA, téléphone portable, tablet...et cela sans avoir à réaliser la fastidieuse opération d'installation de pilote d'impression, le nuage se chargeant de la mise en forme.
1.2 Et la sécurité ?
C'est bien évidemment du coté de la sécurité que les problèmes surgissent...Pour ces deux solutions, les données vont transiter via un environnement non maîtrisé, le nuage...Dans quel pays, par où passent donc nos données ? Quelle est la politique de rétention, d'archivage, d'interception ? Dans le cas de HP ePrint, la confidentialité du transport de l'impression se pose aussi, car l'envoi du mail entre l'émetteur et le nuage se fait en clair, donc est sujet à interception sur l'Internet.
Autre point particulièrement critique, votre imprimante, pour pouvoir fonctionner, se doit donc d'avoir un accès sur l'Internet. Comment la sécurité de cet équipement sera-t-elle assurée ? Est-il bien raisonnable d'offrir un accès non maîtrisé à un périphérique aussi sensible de votre réseau, l'imprimante, qui de part sa nature, voit potentiellement passer des documents plutôt sensibles ?
Enfin, à titre anecdotique, peut-être devrions-nous nous préparer au SPIP, le Spam Over Internet Printing ?
2 HTTPS partout ?
Récemment l'EFF (Electronic Frontier Foundation) a publié sur son site Internet un greffon pour le navigateur Mozilla Firefox appelé HTTPS Everywhere. Le nom alléchant se doit toutefois d'être nuancé au regard du fonctionnement de ce greffon.
En effet, l'utilisation HTTPS Everywhere n'est pas la promesse d'une navigation chiffrée permanente sur l'Internet. Ce module a été créé afin de basculer automatiquement sur le protocole sécurisé lorsque ce dernier est proposé par les sites visités et si ces sites ont été référencés dans le plugin.
En effet, mis à part la vingtaine de sites déjà intégrés comme Google, PayPal, Twitter, Facebook ou Mozilla par exemple, il est possible, via la création d'un fichier XML contenant des expressions régulières en JavaScript, d'ajouter le site de son choix si une version HTTPS existe. Ces fichiers devront ensuite être stockés dans le répertoire HHTPSEverywhereUserRules situé dans le dossier du profil Firefox.
Ce greffon est utile pour automatiser la bascule de la navigation en HTTPS partout où cela est offert et après l'ajout de règles conditionnant ce changement de protocole.
Le CERTA rappelle également que l'utilisation d'extensions pour navigateur doit s'accompagner d'un suivi et d'une application rigoureuse des mises à jour.
3 Mise à jour d'Opera
Opera Software a publié une mise à jour de son navigateur pour Windows. Dans le descriptif de la version 10.54 d'Opera, plusieurs vulnérabilités sont mentionnées, mais seules deux sont décrites :
- la première évoque la possibilité d'exploiter, via le navigateur Opera, la vulnérabilité décrite dans l'avis CERTA-2010-AVI-244. Cette faille permet théoriquement l'élévation de privilèges, mais son exploitation au travers du navigateur se traduit par une exécution de code arbitraire à distance. Cela signifie que les utilisateurs ayant mis à jour leur système Windows mais pas Opera ne sont a priori pas vulnérables ;
- la seconde concerne les URI. Ceux-ci sont capables de lancer des scripts d'un site qui peuvent effectuer des opérations sur les pages internes au site. Le problème relevé est que la détection du site ne se fait pas correctement. Par conséquent, il est possible de lancer des scripts qui interagissent avec d'autres sites.
Il reste trois vulnérabilités non-décrites par l'éditeur, et pourtant corrigées dans la version 10.54 d'Opera pour Windows et Mac, et dans la version 10.11 pour Linux et FreeBSD. Une de ces vulnérabilités est annoncée comme extrêmement sévère.
L'avis du CERTA (CERTA-2010-AVI-274) sera mis à jour lorsque davantage de détails seront transmis. Il reste toutefois conseillé d'appliquer dès que possible cette mise-à-jour du navigateur.
Documentation
- Vulnérabilités dans Opera
http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-274/
4 Firefox 3.6.4
Cette semaine, Mozilla a sorti une mise à jour pour son navigateur Firefox. Celle-ci corrige plusieurs vulnérabilités permettant notamment l'exécution de code arbitraire à distance. Il est recommandé d'appliquer cette mise à jour dès que possible.
Mozilla a également annoncé une nouvelle fonctionnalité intéressante pour son navigateur. Celle-ci exécute maintenant certains modules complémentaires dans un processus séparé. Pour le moment, seuls les plugins Flash, Silverlight et Quicktime sont concernés et exécutés dans un processus nommé plugin-container.exe. Ainsi, si l'un de ceux-ci subit un arrêt inopiné, le navigateur n'est pas concerné et il suffit de recharger la page pour relancer le module en cause.
Seules les versions Windows et GNU/Linux du navigateur sont concernées par cette nouvelle fonctionnalité, qui devrait également être présente sous Mac OS avec la version 4 de Firefox.
