Flux RSS

Inscrivez-vous

Stocker en ligne ses informations confidentielles avec Dashlane (maj)

Mac OS X 10.7.4: La faille de sécurité FileVault corrigée

Finies les sueurs froides liées aux problèmes de stockage en clair des mots de passe utilisateur sur Mac. La firme de Cupertino vient de mettre en ligne la dernière mise à jour de son système d'exploitation Mac OS X 10.7.4, qui corrige le problème de sécurité impliquant la première version de FileVault et apporte de nombreuses améliorations. Au programme, la résolution du problème qui empêchait la fonction de réouverture des fenêtres à chaque ouverture de session; l'amélioration de la copie de fichier sur serveur SMB, un meilleur partage des connexions internet PPPoE ou encore de meilleures performances lors de connexions à des serveur WebDAV. Des correctifs nombreux et variés consultables ici. 

Près de 60 000 mots de passe Twitter dans la nature

La plupart des identifiants et mots de passe Twitter divulgués anonymement sur le site internet Pastebin lundi dernier seraient inexacts ou appartiendraient à des comptes utilisateurs suspendus pour spam, a déclaré aujourd'hui la compagnie. Publiées sur 5 pages comprenant un total de 58 978 identifiants et mots de passe, les données seraient toutefois en partie inutilisables.

« Nous avons découvert que la liste des comptes divulgués ainsi que les mots de passe publiés sur Pastebin sont en fait pour la plupart des comptes clôturés pour avoir eu recours au spam. Par ailleurs, les mots de passe divulgués ne semblent pas être associés aux identifiants », a indiqué Twitter par e-mail. « Certains utilisateurs vont recevoir une demande de redéfinition de leur mot de passe tandis que ceux qui s'inquiètent pour la sécurité de leurs données sont encouragés à changer leur mot de passe », a quant à lui déclaré le porte-parole de la plateforme de micro-blogging.

Au lendemain de sa publication, la première page de données avait déjà été visionnée plus de 40 000 fois...

Pour consulter la première page : http://pastebin.com/Kc9ng18h

      

Une sécurité multi-couches pour BlackBerry 10

La sécurité mobile pourrait devenir un argument de vente majeur pour la plateforme Blackberry 10 de Rim, aussi bien auprès des entreprises, que des opérateurs et des utilisateurs finaux. Pour résumer, RIM a intégré des éléments de sécurité hérités de ses BlackBerry dans l'architecture de son prochain OS basé sur le système d'exploitation QNX Neutrino, tombé dans l'escarcelle de RIM avec le rachat de QNX Software Systems en 2010. Pour l'instant, Rim n'a pas donné de détails sur la manière dont BlackBerry 10 gèrera la sécurité. Mais lors de la BlackBerry World Conference qui a eu lieu la semaine dernière, Scott Totzke, vice-président de Rim, a évoqué le sujet de manière assez générale. « La sécurité pose des problèmes de plus en plus complexes, autant pour les consommateurs que pour l'entreprise », a déclaré le vice-président de Rim.

Généralement, l'entreprise met en place sa propre infrastructure de sécurité, souvent en affectant un personnel dédié à la sécurité. Le BlackBerry Enterprise Server permet aux administrateurs de gérer des centaines de périphériques et de définir autant de politiques de circulation des données pour leurs parcs de téléphones BlackBerry, la plateforme fournissant un lien crypté pour chaque périphérique via le Network Operations Center de Rim. «  Depusi des années, l'industrie promet l'accès du commerce mobile aux consommateurs, l'idée étant de faire du téléphone un système de paiement. Mais, quand cela arrivera, le système a intérêt à être bien sécurisé », a-t-il déclaré. « Si l'utilisateur ne peut pas faire confiance à la plate-forme mobile, il va avoir du mal à l'adopter ».

Plusieurs niveaux de sécurité

En matière de sécurité, BB10 va reposer sur plusieurs couches intégrées qui assureront une étroite collaboration entre le matériel et les logiciels, une des caractéristiques et un des points forts de BlackBerry. Pour les utilisateurs, les applications répondront un modèle de sécurité basé sur des autorisations, clairement compréhensibles. Chaque application pourra être associée à un niveau de sécurité différent au sein de l'OS et avec des dispositifs de sécurité issus de l'expérience acquise par QNX sur le marché des systèmes embarqués.

En ce qui concerne l'OS, QNX a, pendant plusieurs années, proposé une variante renforcée de son OS Neutrino RTOS Secure Kernel. Ce noyau sécurisé a été certifié 4+ par la Common Criteria ISO/IEC 15408 Evaluation Assurance Level (EAL). Celle-ci atteste que la sécurité d'un produit informatique a été éprouvée, mise en oeuvre et appréciée selon une méthode d'évaluation standard rigoureuse. Selon QNX, Neutrino a été le premier système RTOS à avoir reçu cette certification. (En décembre 2011, QNX a annoncé que Neutrino avait également reçu la certification de sécurité Safety Integrity Level 3 (SIL 3) en vertu de la norme CEI 61508. (Strictement parlant, ce n'est pas une certification de sécurité, mais elle donne une note sur le taux de « défaillances dangereuses » d'un système d'exploitation.)

Cependant, il semble que Rim n'a pas choisi cette variante du Secure Kernel. « Par contre, après l'acquisition de QNX, les architectes en sécurité du fabricant ont commencé à travailler en étroite collaboration avec les ingénieurs logiciels de QNX, » comme l'a indiqué Scott Totzke. Leurs travaux ont, semble-t-il, consisté à trouver comment tirer profit de points forts du micronoyau, et d'y ajouter de nouvelles fonctionnalités de sécurité.

Les chercheurs ont travaillé sur une série de solutions de sécurité, comme:

- Le blocage de l'accès root, qui permet à un utilisateur ou à un pirate d'avoir un accès administrateur à l'OS.

- Le brassage de la mémoire, qui a pour effet de « brouiller » les routines qui tournent en mémoire, ce qui rend plus difficiles les attaques par effet de levier.

- L'ajout de fonctions de gestion de la sécurité au niveau du noyau, y compris des fonctions de vérification.

Ce travail est en cours. Le code pour jailbreaker ou entrer en mode root dans le PlayBook OS basé sur QNX  (qui permet de charger des applications qui ne viennent pas du BlackBerry App World) est disponible sur DingleBerry.it, en particulier la version 3.3, extrêmement simple et facile à utiliser. Une version 4.0 est en développement. Les PlayBooks pourront peut-être faire tourner la version 10 de BlackBerry OS, mais par conséquent, si le blocage de l'accès root est une priorité pour RIM, le jailbreak du nouvel OS sera sans doute plus difficile.

[[page]]  

« L'actuel PlayBook OS bénéficie déjà d'améliorations en matière de protection des données et sera un élément clé de BlackBerry 10 », a encore indiqué Scott Totzke. BlackBerry Balance permet de créer des espaces de travail séparés et sécurisés et de contenir les données dans des « périmètres » personnalisés. Les applications professionnelles et les données sont cryptées dans ce « périmètre » de travail, et ne peuvent pas être transférées ou copiées vers le périmètre personnel. (« Le cryptage des données personnelles sera disponible dans la prochaine version de PlayBook OS », a-t-il aussi précisé.) « Mais l'utilisateur final n'aura pas à se soucier de cette gestion des espaces séparés», explique encore le vice-président de RIM. «  L'interface utilisateur affichera toutes les données, mais en arrière-plan, le système se chargera de les répartir dans leurs espaces respectifs ». Sur le terminal, il n'y a qu'un seul système de messagerie et qu'une seule interface utilisateur, mais les e-mails professionnels et les e-mails personnels seront stockés séparément en arrière-plan par le système.

L'architecture microkernel de Neutrino permet d'intégrer plusieurs services essentiels dans le noyau, mais les pilotes, les applications, les piles de protocoles, et le fichier système tourneront en dehors du micro-noyau, dans une sandbox qui correspond à un espace utilisateur protégé en mémoire. « Cela signifie que pratiquement chacun de ces composants externes peut subir une panne et être remplacé et redémarré, sans affecter d'autres composants ou le noyau lui-même », selon QNX. On peut supposer que les logiciels malveillants conçus pour s'introduire dans le noyau seront isolés de la même manière dans ces espaces protégés.

Une sécurité transparente pour l'utilisateur

Conformément au standard POSIX, qui garantit la compatibilité logicielle d'une API, de shells et d'interfaces entre systèmes d'exploitation POSIX, QNX Neutrino dispose aussi d'une autre couche de protection. Entre autres avantages, « une API POSIX permet d'empêcher l'utilisation d'interfaces propriétaires pouvant entraîner des comportements à risque et une mauvaise interprétation des résultats », selon le site internet de QNX. Dès le départ, le système RTOS a été conçu pour supporter le standard POSIX. Cette approche élimine la nécessité d'ajouter une « couche d'adaptation POSIX complexe », indispensable par contre dans certains systèmes RTOS concurrents. « Au final, on a un système plus rapide, qui a moins de besoins en mémoire pour faire tourner les applications », affirme QNX.

Une grande partie de cette infrastructure de sécurité sera transparente pour les utilisateurs finaux. Mais si les technologies de paiement mobile sont actuellement portées en avant, la sécurité ou du moins la nécessité d'un système sécurisé peut devenir une priorité pour les utilisateurs finaux. Rim a été un des premiers fabricants à adopter la communication en champ proche (NFC) pour ses smartphones BlackBerry, afin de promouvoir notamment le paiement mobile «sans contact». Le journal britannique The Inquirer a rapporté cette semaine que, selon RIM, 80% des mobiles NFC livrés au premier trimestre aux opérateurs anglais étaient des BlackBerry. « Je pense que c'est ce que les utilisateurs attendent », a déclaré Scott Totzke. « Il m'est parfois arrivé d'oublier mon portefeuille, mais jamais je n'oublierai mon téléphone. La sécurité doit devenir un peu plus la préoccupation des consommateurs, et beaucoup plus celle des constructeurs et des développeurs d'applications », a-t-il ajouté.

Sécurité mobile : Symantec devance McAfee

La sécurité mobile est devenue un élément de premier plan pour les entreprises, et la course entre Symantec et McAfee - propriété d'Intel - est relancée. L'enjeu : résoudre le casse-tête du « Bring your own device » (Byod), qui consiste à laisser tout salarié utiliser son terminal personnel pour ses besoins professionnels, et qui préoccupe les services informatiques. Pour l'instant, si l'on en juge par la dernière annonce faite par Symantec lors de sa conférence annuelle Vision, il semble que le vendeur a pris l'avantage sur son traditionnel rival.

Mardi dernier, Symantec a donc déployé sa technologie de gestion des applications mobiles héritée de l'acquisition de Nukona, réalisée le mois dernier. Le vendeur devrait abandonner prochainement la marque Nukona au profit de Symantec. Le dernier produit du vendeur vient directement enrichir son portefeuille consacré à la sécurité des points d'accès, et frappe au coeur de ce que les sociétés recherchent le plus aujourd'hui : le verrouillage des données professionnelles sur l'appareil mobile des salariés. La tendance au « Bring your own device » est une source de nuits blanches pour les administrateurs de services informatiques qui doivent bloquer les salariés, qui désirent utiliser leurs propres tablettes et smartphones, envoyer des courriers électroniques professionnels via leurs comptes de messagerie personnelle Gmail ou échanger des données professionnelles en utilisant des systèmes de partage de fichiers comme Dropbox ou SugarSync.

Les malwares pour mobiles passent au second plan 

Si la prévention contre les infections par les malwares reste un sujet de préoccupation important, le contrôle de la circulation des données est devenu le plus gros problème des entreprises. « Au jour d'aujourd'hui, la question de la présence de malwares sur les appareils mobiles est assez mineure pour les entreprises », a expliqué Jack Gold, analyste et fondateur de J. Gold Associates. « Celles-ci sont désormais plus concernées par la fuite ou la perte de données d'entreprises depuis les terminaux de leurs utilisateurs ».

La solution de Symantec permet d'emballer les applications professionnelles avec une couche de code qui empêche les données de sortir du téléphone, sauf si le transit est conforme aux politiques de sécurité de l'entreprise. Grâce à ce verrouillage applicatif, les salariés peuvent utiliser leur téléphone mobile comme ils le souhaitent pour effecteur des tâches personnelles sans risque pour les données de l'entreprise. La technologie, disponible sous forme de logiciel sur site ou via Internet, s'applique aux apps iOS d'Apple et Android de Google ainsi qu'aux applications écrites en HTML5.

Des rachats clefs pour étoffer la sécurité des mobiles

Symantec dispose également d'une technologie pour gérer les terminaux mobiles fournis par l'entreprise, et qui ne doivent pas répondre aux mêmes contraintes que les téléphones et les tablettes des salariés. Au mois de mars dernier, Symantec a acquis Odyssey Software dont la technologie lui permet de gérer les iPad et les iPhone d'Apple. Le support des terminaux d'Apple est un must-have, compte tenu de l'adoption massive de ces dispositifs dans l'entreprise, et la fin de la domination de Microsoft. Selon les derniers chiffres de Forrester Research, parmi les cadres et les vendeurs, une personne sur cinq utilise un produit Apple.

Les acquisitions d'Odyssey Software et de Nukona reflètent aussi l'évolution du secteur de la sécurité mobile, qui est en train de passer d'une douzaine de plus ou moins petits vendeurs, à des vendeurs plus importants, lesquels achètent leur place sur le marché. Jusqu'aux dernières acquisitions, McAfee, qui a racheté le vendeur de solutions de gestion des applications mobiles Trust Digital en 2010, avait un avantage sur Symantec. « Symantec n'était pas en très bonne position dans ce secteur dans le sens où il n'avait pas de stratégie mobile forte », a déclaré l'analyste. Aujourd'hui, la balle est dans le camp de McAfee, et il faut s'attendre à ce que le rival réagisse vite.

Intégration à venir

Entre temps, Symantec a beaucoup à faire sur le front de l'intégration. Il va falloir qu'il intègre toutes ces technologies développées en externe avec le reste de son portefeuille, en particulier dans la couche de gestion. Les clients sont contents quand ils peuvent gérer tous les points d'accès aux ordinateurs de bureau, aux PC portables et aux appareils mobiles via une console unique. « Symantec a réalisé un certain nombre d'investissements visionnaires pour offrir une solution de protection des points d'accès, mais l'intégration des technologies héritées de ses diverses acquisitions n'a pas été rapide », déclarait Gartner dans un rapport publié en janvier.

Une faille de sécurité majeure repérée dans Mac OS X Lion

La dernière mise à jour de Mac OS X Lion (10.7.3) comporte une brèche permettant l'accès à un fichier texte contenant l'ensemble des mots de passe des utilisateurs.
C'est David I. Emery, expert en sécurité informatique, qui a révélé l'information sur le site  Cryptome. 
Résultant sans doute d'une erreur de manipulation de l'un des développeurs d'Apple, l'erreur entraine l'enregistrement en clair des mots de passe de Lion dans un fichier de logs pour tous ceux qui s'identifient.
Néanmoins, ce problème ne concerne que les personnes ayant effectué une mise à jour vers Mac OS X 10.7.3 et utilisant le premier volet du logiciel de cryptage de données FileVault, issue d'une précédente version du système d'exploitation.

La marque à la pomme dispose en effet de deux versions de FileVault.

La première, utilisée jusqu'à la mise à jour 10.7 et utilisant la norme Advanced Encryption Standard (AES), ne chiffre que le répertoire personnel de l'utilisateur, laissant de côté les répertoires systèmes. La seconde, FileVault 2, fournie avec Mac OS X Lion 10.7.3, crypte quant à elle l'ensemble du contenu du disque dur.
Problème, lorsqu'une personne met à jour Lion tout en continuant à utiliser la première version de FileVault, une erreur se produit et créé une faille de sécurité. Selon David I. Emery, quiconque possède un accès administrateur peut ainsi avoir accès à l'ensemble des mots de passe de tous les utilisateurs de la machine. 
Pire, même sans accès administrateur, le fichier reste accessible en démarrant le Mac en mode « disque cible » ou en passant par la partition de récupération de Lion.


Un problème à relativiser



Toutefois, une simple migration vers FileVault 2 règle en partie le problème puisque celle-ci obligerait toute personne souhaitant s'introduire dans une machine concernée à connaître au moins le mot de passe de l'un des utilisateurs avant de pouvoir accéder au fichier et la mise en place d'un mot de passe firmware, indispensable au démarrage de la partition de récupération ou au lancement du mode « disque cible FireWire », limiterait  les possibilités d'intrusion. 
Sans doute apparu lors de la dernière mise à jour 10.7.3, ce problème aurait, selon David I. Emery, été découvert plus tôt par d'autres utilisateurs et la firme de Tim Cook serait au courant depuis  un moment. Les employés des Genius Bar disposeraient d'ailleurs d'une technique standard pour mettre fin au problème : passer à FileVault 2et chiffrer tout le disque dur.


Quoi qu'il en soit, cet épisode met en lumière la fragilité d'une telle technologie et pour David I. Emery, « une erreur comme celle-ci ne représente finalement pas vraiment plus de danger que le fait de laisser son ordinateur sans surveillance pendant quelques minutes ».

Apple ne s'est pas encore exprimée sur le sujet.


Le PHP Group obligé de corriger des mises à jour défaillantes

Le PHP Group va publier des mises à jour complémentaires pour différentes versions de PHP, afin de corriger définitivement deux failles capable de générer une exécution de code à distance. La première est connue sous le nom CVE-2012-1823 dans php-cgi, un composant qui permet à PHP de fonctionner dans une configuration CGI (Common Gateway Interface). Cette vulnérabilité a été découverte et signalée au PHP Group à la mi-janvier par une équipe de passionnés d'informatique baptisée De Einbadzen. Le bug change l'interprétation de la chaîne de caractères contenant «- » pour que le composant php-cgi puisse gérer des lignes de commandes, comme -s, -d,-c. La faille peut-être exploitée pour dévoiler du code source depuis les scripts PHP ou éxécuter du code malveillant sur des systèmes vulnérables.

Des mises à jour inefficaces

Le 3 mai dernier, le PHP Group a publié en urgence les mises à jour de PHP 5.3.12 et PHP 5.4.2 pour corriger ces failles, car des éléments techniques de l'utilisation des vulnérabilités avaient été rendus publics. Cependant, peu de temps après, Stefan Esser, le créateur de Suhosin, extension de sécurité pour PHP, a indiqué  via Twitter que le correctif CVE-2012-1823 inclus dans PHP 5.3.12 et PHP 5.4.2 peut facilement être contourné.

Le PHP Group a reconnu l'inefficacité de son patch d'origine et prévoit la publication d'une autre mise à jour mardi. « Ces mises à jour fixeront la faille CGI et une autre liée au problème apache_request_header dans CGI (seulement pour la version 5.4) » précise le groupe. Ce dernier problème peut être utilisé pour une saturation de la mémoire tampon et généré une exécution de code à distance, explique, sur son compte twitter, Georg Wicherski, analyste spécialisé sur les malwares, .

Symantec sème 50 smartphones pour étudier le vol de données