Mikko Hypponen - 'Cyber Arms Race' at Les Assises de la Sécurité et des Systèmes d'Information 2018
Google Docs est une suite de productivité en ligne permettant aux utilisateurs de créer et partager des logiciels de traitement de texte ou des tableurs. C'est gratuit pour les consommateurs, et Google propose également une version entreprise, Google Apps, avec plus de fonctionnalités.
L'un des défauts permet aux images d'être accessibles même si un document a été supprimé ou que les droits de partage ont été révoqués, écrit Ade Barkah, le fondateur de BlueWax, une société de conseil en applications d'entreprise basée à Toronto
[Plus d'informations: Les meilleurs services de diffusion TV]
Une personne aurait besoin d'avoir l'URL correcte pour accéder à l'image, écrit Barkah. La faille montre que Google Docs ne protège pas les images avec ses contrôles de partage, écrit-il."Si vous avez partagé un document contenant des images incorporées avec quelqu'un, cette personne pourra toujours voir ces images", écrit-il. "Si vous incorporez une image dans un document protégé, vous vous attendez à ce que l'image soit protégée, ce qui peut entraîner une fuite de confidentialité."
Le deuxième problème permet aux utilisateurs de voir toutes les versions d'une image modifiée. Par exemple, si un utilisateur souhaite supprimer une partie d'une image et la partager, l'utilisateur qui y a accès peut modifier l'URL de cette image pour voir les versions précédentes.
Barkah a écrit que les éléments tels que les diagrammes sont pixellisés en une Image.PNG. Lorsque le diagramme est modifié, Google Documents crée une nouvelle image pixellisée mais conserve les anciennes versions avec une URL unique. En changeant un chiffre dans l'URL, l'ancien diagramme peut être vu.
Barkah a également trouvé un troisième problème mais ne publie pas encore de détails dessus. Il semble permettre aux personnes qui avaient déjà accès à Google Docs de quelqu'un d'avoir accès même si les droits d'accès ont été modifiés.
Google a été informé des problèmes le 18 mars et Barkah a déclaré être en contact avec l'équipe de sécurité de Google. Jeudi. Dans un communiqué, Google a déclaré qu'ils enquêtaient mais que "nous ne pensons pas qu'il existe des problèmes de sécurité importants avec Google Docs."
Si elles sont exactes, les découvertes de Barkah alimenteront probablement les appels que l'entreprise doit effectuer
La semaine dernière, l'Electronic Privacy Information Center a déposé une plainte demandant à la Federal Trade Commission des États-Unis d'empêcher Google d'offrir des services de collecte de données jusqu'à ce que les contrôles de confidentialité puissent être vérifiés. a reconnu qu'une erreur dans Docs a causé l'exposition de certains documents aux utilisateurs sans autorisation appropriée. Le problème est survenu chez les utilisateurs qui avaient déjà partagé des documents. La société a déclaré que cela affecte moins de 0,05% des documents.
Note de l'éditeur: le pourcentage de documents Google affectés par le problème a été corrigé le 28 mars 2008.
De plus en plus d'employés ignorent les politiques de sécurité des données et s'engagent dans des activités susceptibles de mettre en danger une entreprise, selon un sondage publié mercredi par le Ponemon Institute. aux lecteurs USB ou désactiver les paramètres de sécurité dans les appareils mobiles comme les ordinateurs portables, ce qui pourrait mettre en danger les données d'une entreprise, selon l'enquête. Le taux de comportements non conformes a été plus faible dans ce dernier sondage compa
Environ 69% des 967 informaticiens interrogés ont déclaré avoir copié des données confidentielles sur des clés USB , même si c'était contre les règles. Certains ont même perdu des clés USB qui stockent des données d'entreprise confidentielles, mais ne les ont pas signalées immédiatement.
Fortify Software, une société privée basée à San Mateo en Californie, se spécialise dans les logiciels des problèmes dans le code pouvant entraîner des vulnérabilités logicielles, qui pourraient être exploitées par un attaquant, provoquant des problèmes tels qu'une violation de données.
HP a déclaré que l'expertise de Fortify dans l'analyse de sécurité des applications statiques viendrait compléter son analyse dynamique de sécurité applicative. Selon le site Web de Fortify, les tests de sécurité des applications statiques peuvent révéler des vulnérabilités lors du développement ou de l'assurance qualité d'un projet. Les tests dynamiques de sécurité applicative détectent les vulnérabilités dans une application active et évaluent la sécurité globale de l'application.
La police de Mumbai a arrêté samedi un chercheur en sécurité qui a enquêté sur des problèmes de sécurité dans des machines à voter électroniques. chercheur en sécurité qui a enquêté sur les machines à voter électroniques (EVM) utilisées lors des élections indiennes a été arrêté par la police à Mumbai samedi. Hari Prasad et d'autres chercheurs ont publié une vidéo plus tôt cette année montrant comment, après avoir bricolé avec l'électronique interne d'un EVM, ils pourraient effectuer des attaques
En avril, Prasad a déclaré à IDG News Service que son groupe de chercheurs avait accès à une EVM opérationnelle. lors d'une élection par le biais d'une source anonyme.