Gmail : le chiffrement HTTPS automatique avec Chrome 13

La prochaine version du navigateur Google Chrome forcera la connexion HTTPS sur le service de courriers électroniques Gmail.

Dans un billet publié sur le blog officiel du projet Chromium, Chris Evans, chargé de la sécurité du navigateur, explique que la prochaine mouture apportera davantage de protection pour l'internaute. L'un des éléments soulignés est la gestion de la connexion sécurisée HTTPS, laquelle ajoute un chiffrement SSL au protocole HTTP classique.

Par le passé Google avait introduit la possibilité d'activer ce chiffrement au sein des options de Gmail avant de configurer ce dernier par défaut. Au regard des récentes tentatives d'intrusions sur les comptes Gmail, la firme de Mountain View explique alors : « avec Chrome 13, toutes les connexions à Gmail seront transmises via HTTPS. Cela est valable dès le début de la navigation même si l'utilisateur tape "gmail.com" ou "mail.google.com" dans la barre d'adresse sans le préfixe "https://" ». Cette mesure sera mise en place afin d'éviter les attaques de type "sslstrip" qui visent justement à intercepter une connexion HTTP avant que celle-ci ne soit chiffrée en HTTPS.

Pour ce faire Google emploie la technologie HTST (HTTP Strict Transport Security) qui permet à un serveur d'obliger le navigateur à opérer une connexion HTTPS. Toujours afin de sécuriser son webmail, Google annonçait un peu plus tôt cette année la possibilité de configurer un code d'accès supplémentaire et temporaire envoyé au téléphone de l'internaute.

Lire les commentaires (0) Ajouter un commentaire

Mozilla développe son propre moteur de rendu PDF

Lorsque vous naviguer sur Internet et que vous cliquez sur un lien menant vers un document PDF, il y a de fortes chances pour que ce soit Adobe Reader qui ouvre le fichier via un plug-in dans le butineur. Mozilla préfère mettre le cap sur une autre manière d’ouvrir des documents. Comment ? En développant son propre moteur basé sur le HTML5 et le JavaScript.

Les développeurs travaillent donc sur un composant nommé pdf.js capable d’ouvrir, charger et rendre le document PDF en s’affranchissant de tout plug-in tiers. Il y aurait bien sûr deux avantages principaux à une telle inclusion : Firefox se suffirait à lui-même pour ouvrir des PDF sans le besoin d’installer la moindre application tierce, et les performances seraient bien meilleures.

Mais on peut citer un autre avantage bien qu’il soit invisible au premier abord : la sécurité. Mozilla affirme en effet que pdf.js est rédigé dans des langages web « sûrs », permettant d’obtenir un code qui ne peut pas être exploité par d’autres contre l’utilisateur. Pour l’éditeur, il s’agit de se prémunir contre les failles à répétition des visionneuses.

Il faudra encore plusieurs mois de travail avec pdf.js soit présent dans Firefox, mois durant lesquels on connaîtra la liste complète des fonctionnalités supportées. Car une chose est certaine : Adobe Reader est une application relative lourde, mais elle dispose de très nombreuses possibilités que l’on ne retrouve que très rarement dans les visionneuses tierces.

Les intéressés pourront tester pdf.js dans Firefox depuis ce lien : http://people.mozilla.org/~gal/test.html

Lire les commentaires (0) Ajouter un commentaire

Piratage de Citigroup : beaucoup plus de comptes compromis que prévu

Le nombre de comptes piratés a été réajusté, à la hausse, d’environ 80%. C’est en effet plus de 360 000 clients qui sont désormais concernés reconnait la banque Citigroup.

Au début du mois de mai, la banque Citigroup révélait que des pirates avaient pu s’introduire dans ses systèmes et compromettre des comptes d’un peu plus de 200.000 de ses clients détenteurs de cartes de paiement.

D’après l’établissement financier, cela représentait 1% de sa clientèle. Mais Citigroup a dû revoir ce bilan. Le nombre de comptes compromis est en effet bien plus important que ne l’annonçaient les précédentes estimations.

De nouvelles cartes bancaires pour les clients...

La banque a refait ses calculs. Ce sont désormais, et très précisément, 360.069 comptes dont les données ont été exposées. Pour rappel, les pirates auraient profité d’une faiblesse dans un site Internet de l’entreprise pour se connecter à ces différentes espaces clients et exfiltré ainsi des informations sensibles.

Il s’agit des nom, numéro de compte, coordonnées et adresse électronique des clients avec carte de paiement. La date d’expiration et le code secret de ces cartes bancaires ne seraient en revanche pas compromis assure Citigroup.

Dans un communiqué, la banque ajoute qu’elle a lancé depuis le 24 mai un processus d'information et de remplacement des cartes bancaires des clients affectés. Concernant les techniques d’attaque employées, Citigroup garde le silence, pour les besoins de l’enquête, précise-t-elle.

D’après un expert en sécurité interrogé par le NYT, les pirates auraient pu se connecter sur les comptes en manipulant l’URL directement dans le navigateur, et ce simplement en insérant des numéros de comptes.

Lire les commentaires (0) Ajouter un commentaire